Botnets y malware automatizado afectan al 79% de empresas

Durante el tercer trimestre de 2017 se detectaron altas tasas de recurrencia de botnets y el aumento de malware automatizado, según el ‘Reporte sobre Panorama Global de Amenazas’ de Fortinet.

El 79% de las empresas sufrieron ataques severos en dicho periodo, con 5,973 detecciones de exploits únicas, 14,904 variantes de malware únicas de 2,646 familias distintas y 245 botnets únicos detectados.

Además, se identificaron 185 vulnerabilidades de día cero hasta la fecha durante este año.

Los cibercriminales están aprovechando exploits comunes combinados con métodos de ataque automatizados a una velocidad y escala sin precedentes.

El reporte indica que los ataques altamente automatizados y la tecnología swarm se están convirtiendo en la norma.

‘Existe una urgencia por priorizar la higiene en ciberseguridad y adoptar enfoques de seguridad basados en un entramado que aproveche la automatización, la integración y la segmentación estratégica‘, explica Phil Quade, CISO de Fortinet.

Muchas organizaciones experimentaron las mismas infecciones de botnets varias veces, o bien, no entendieron completamente el alcance total de la violación y el botnet quedó en estado latente para regresar una vez que las operaciones comerciales volvieran a la normalidad, o nunca se encontró la causa raíz y la organización volvió a infectarse con el mismo malware.

 

Malware móvil

En cuanto a las amenazas móviles, 1 de cada 4 empresas detectó malware móvil. Cuatro familias específicas de malware para dispositivos móviles se destacaron por primera vez debido a su prevalencia.

Esto es una indicación de que los dispositivos móviles se están convirtiendo cada vez más en un objetivo y que las amenazas mismas se están volviendo automatizadas y polimórficas.

 

Empresas medianas, en la mira

Las empresas medianas registraron tasas más altas de infecciones por botnets, lo que demuestra que se enfrentan a una cantidad mayor de problemas de seguridad.

Los ciberdelincuentes pueden ver a las medianas empresas como un ‘punto ideal’ porque a menudo no tienen el mismo nivel de recursos y tecnologías de seguridad que las grandes empresas, pero cuentan con activos de datos valiosos.

Al mismo tiempo, la superficie de ataque para las medianas empresas está creciendo a un ritmo acelerado debido a sus tasas de adopción de la nube.

El reporte indica que las compañías deben combatir los ataques automatizados con inteligencia procesable y seguridad automatizada, en vista de que los cibercriminales están aprovechando los avances en la automatización para crear ataques que explotan vulnerabilidades con amenazas capaces de propagarse a gran velocidad y escala.

A medida que aumentan el volumen, la velocidad y la automatización de los ataques, se vuelve importante alinear la priorización del parchado para centrarse mejor en los más críticos.

Además, las organizaciones deben asegurarse de que exista una estrategia de detección de amenazas y respuesta a incidentes que complemente la tecnología y la inteligencia para acelerar el proceso.

México y Brasil, principales blancos de amenazas móviles

Durante 2017, 121,000 usuarios latinoamericanos han sufrido ataques en sus dispositivos móviles, de los cuales Brasil ocupa el primer sitio, con 31%, seguido de México, con 29%, y Colombia, con 7%, según datos de Kaspersky Lab.

Los principales tipos de ataque a dispositivos móviles incluyen phishing, malware o ataques a la privacidad del usuario.

Debido a que 9 de cada 10 usuarios de teléfonos inteligentes en América Latina hacen uso de Internet principalmente a través del celular y más de 80% de las compras se realizan en línea, las amenazas a estos internautas han crecido en los últimos años.

En el último año, los investigadores de Kaspersky Lab han descubierto varios ataques dirigidos a dispositivos móviles, como una campaña maliciosa que circuló por WhatsApp en la que se prometía a los usuarios probar una cafetera Nespresso de forma gratuita.

Además, los delincuentes también utilizan la técnica de smishing, en la que se envía un SMS a los usuarios con mensajes falsos que ofrecen alguna promoción o servicio. Por ejemplo, algunos criminales envían mensajes SMS falsos en nombre de bancos solicitando que el usuario haga clic en el vínculo falso.

Malware para dispositivos inteligentes se duplica en 2017

Kaspersky Lab informó que el número total de muestras de malware que tiene como objetivo a los dispositivos inteligentes ha alcanzado los 7,000, y de estas más del 50% ha surgido en 2017.

Más de 6 mil millones de dispositivos inteligentes utilizados en todo el mundo –como relojes y televisores inteligentes, routers y cámaras– se conectan entre sí y constituyen el creciente fenómeno del Internet de las Cosas (IoT).

Estos aparatos se han convertido en un objetivo atractivo para los ciberdelincuentes. Al hackear con éxito los dispositivos IoT, los criminales pueden espiar a las personas, chantajearlas y hasta convertirlas discretamente en sus cómplices.

La mayoría de los ataques detectados por los expertos de la compañía tenían como objetivo las videograbadoras digitales o cámaras IP (63%), y 20% era contra dispositivos conectados a una red, entre ellos enrutadores, módems DSL, etc. Cerca del 1% de los objetivos eran los dispositivos más comunes utilizados por el público, como impresoras y dispositivos inteligentes para el hogar.

China (17%), Vietnam (15%) y Rusia (8%) emergieron como los tres países principales con dispositivos IoT atacados, cada uno con un gran número de máquinas infectadas. Les siguieron Brasil, Turquía y Taiwán, con un 7%.

Proteger dispositivos móviles no es prioridad en las empresas

¿Cuáles son las prioridades actuales de seguridad de las empresas?

Las innumerables amenazas digitales preocupan a los responsables de la seguridad de TI en diversas compañías pero, ¿cuáles son las más importantes? Una encuesta hecha entre empresas grandes y pequeñas revela cómo clasifican los riesgos en seguridad y nos permite ver aquellas a las que dan menos importancia.

El estudio House of the rising sun, realizado por la revista SC Magazine y patrocinado por Intel Security, revela que una amplia franja de industrias de diversos tamaños e ingresos se siente muy bien acerca de su nivel de preparación en caso de una violación de seguridad.

La encuesta fue realizada en el mes de julio de 2016 y consta de 222 respuestas de una amplia muestra de empresas de Estados Unidos dedicadas a las finanzas, servicios de tecnología, federales, estatales y municipales de gobierno, militares, manufactura, salud, educación, comercio minorista, de los sectores de servicios públicos y de telecomunicaciones.

La mayor parte de los encuestados afirmó que ya efectúa funciones de seguridad, como detección de actividades sospechosas y validación; contención de la actividad maliciosa; búsqueda de datos e investigación de incidencias; visibilidad y la recopilación de datos. Otras son también la caza de amenazas y la detección con sandbox de las amenazas de día cero, esta últimas en menor grado.

Además, con el aumento del predominio de los trabajadores móviles, casi 69% de las empresas con ingresos de mil millones de dólares o más –de los cuales 74 forman parte de esta muestra– también están haciendo que sea prioritario proteger a los usuarios fuera de la red. También lo es para casi 64% de las empresas con más de 5 mil empleados, de los cuales 105 fueron encuestados.

 

La protección de los dispositivos móviles no es prioridad

Un punto en común entre todas las empresas encuestadas, sin importar su tamaño y nivel de ingresos, es que colocan la prevención del malware móvil en la parte inferior de su lista de prioridades, detrás de las violaciones de datos, ransomware, ataques dirigidos y malware de día cero, entre otras preocupaciones. La única preocupación de menor rango fue el malware sin archivo (malware file-less) y greyware.

Asimismo, los profesionales de seguridad en empresas de diferentes tamaños e ingresos también situaron la protección de los usuarios que están fuera de la red en una baja prioridad, lo que la coloca en el último lugar de sus principales objetivos de seguridad.

 

intel-image006

Clasificación de las amenazas de acuerdo las respuestas de la encuesta

 

Esto se considera probable porque las empresas ya desplegaron el software de seguridad en las computadoras corporativas de escritorios y en las laptop para los usuarios remotos, considera Candace Worley, vicepresidente de marketing de soluciones empresariales en Intel Security.

‘Con el tiempo, las capacidades de seguridad basadas en servidor han madurado hasta el punto en el que no sólo tienes antivirus y firewall locales, sino los controles de aplicación e IDS, así como elementos de contención o de aprendizaje automático u otros tipos de tecnología residentes en la computadora portátil. Eso es una buena cantidad de protección’, afirma Worley.

Además, las nuevas técnicas de cifrado son extremadamente difíciles –si no imposibles– de romper para un delincuente informático, incluso en dispositivos móviles perdidos o robados, agrega Worley. Mientras que una empresa está implementando técnicas de autenticación apropiadas, también los trabajadores móviles deben estar bien protegidos, dice ella.

 

Las prioridades más altas en seguridad

La encuesta reveló que de los objetivos de seguridad más prioritarios de las empresas, el 31.5% de todos los encuestados colocó ‘reducir la vulnerabilidad’ como su objetivo número uno, seguido por ‘mantener la productividad’, una de las principales preocupaciones para el 23% de las empresas de entre 1,001 y 5,000 empleados, de los cuales había 52 en la encuesta, y poco más de 21% de las empresas con ingresos de mil millones o más.

Del total de los encuestados, el 18.5% colocó el mantenimiento de la productividad en primer lugar, el 13% lo clasificó en segundo y el 14% lo clasificó en tercero. El 23% lo calificó como su prioridad más baja.

‘Reducir la vulnerabilidad’ fue citada como la principal prioridad en 40% de los encuestados en empresas con mil o menos empleados, de los cuales había 65 encuestados, 38% de los cuales están en empresas con ingresos que van de 100 millones a mil millones, de los cuales hubo 50 encuestados.

Por el contrario, de los que respondieron a las empresas con más de 1 mil millones en ingresos, sólo el 17% consideró que esta su máxima prioridad. En ese segmento de ingresos, la principal prioridad era mantener la productividad mientras que la segunda clasificación, fue minimizar el daño de los ataques.

intel-image008

¿Cuáles son sus objetivos de seguridad más prioritarios?

 

Obstáculos para cumplir objetivos de seguridad

Otro de los hallazgos del estudio fue que el principal obstáculo para cumplir los objetivos de seguridad de 29% de los encuestados (el primero) fue el costo total de la seguridad.

Para Josh Thurston, estratega de seguridad para las Américas, en la Oficina del CTO, en Intel Security, las empresas podrían estar abrumadas por la cantidad de productos de seguridad en el mercado. Hace ‘veinte años, tenías un firewall y antivirus, y pensabas en hacer la detección de intrusos, y eso era muchísimo”, afirmó.

‘Hoy en día tienes entre 70 y 80 productos que debes considerar y desplegar de 800 proveedores, y cada producto tiene un caso de uso especial y deseas comprarlo, de tal manera que se ha convertido en una tarea muy desalentadora para los CISO “encontrar la manera de obtener el máximo rendimiento de sus fondos limitados’.

El segundo obstáculo revelado por la encuesta radica en ‘los procesos manuales que consumen mucho tiempo’, elegido por casi el 20% de todos los encuestados; en tercer lugar están las defensas descoordinadas (18.5%), y le sigue la ‘falta de profesionales de seguridad calificados’, citado por casi el 17%; un reto que es discutido ampliamente en la comunidad de especialistas en seguridad.

¿Su compañía comparte estas prioridades en seguridad TI? Lo invitamos a compartirnos sus comentarios debajo de este artículo.

Por Edgar Vásquez Cruz

El malware llega hasta las selfies

No cabe duda que la cámara se ha convertido en una parte integral de los smartphones, y a menudo es un factor clave a la hora de decidir qué dispositivo adquirir.

Cada vez más empresas están empezando a aprovechar la naturaleza ubicua de la cámara del teléfono, desafortunadamente, los ciberdelincuentes también están aprendiendo a aprovecharla.

El Equipo de Investigación de McAfee Mobile de McAfee Labs, descubrió recientemente un malware para Android que usa  ingeniería social y algo de código furtivo para recopilar todo tipo de información personal, finalizando con una foto de la identificación personal del usuario.

Este malware ahora solicita que usted se tome una selfie.  Aunque esta amenaza en particular sólo ha afectado hasta ahora a los usuarios en Singapur y Hong Kong, siempre es mejor estar consciente de las amenazas actuales y prepararse en consecuencia.

 

¿Cómo opera este malware?

Al igual que muchos tipos de malware, éste engaña al usuario en la instalación, pretendiendo ser un códec de video o un plugin. Al hacer esto, realmente lo que obtiene es que el usuario le conceda todos los permisos que necesita para ejecutar el código malicioso.  Por este motivo llamaríamos a esto un troyano en lugar de un virus, ya que está fingiendo ser una aplicación legítima con funcionalidades ocultas.

Este malware se ejecuta en segundo plano, a la espera de que usted abra aplicaciones específicas donde tendría sentido pedir un número de tarjeta de crédito.

A continuación, muestra su propia ventana a través de la aplicación legítima, solicitándole los datos de su tarjeta de crédito. Después de validar el número de la tarjeta, pide información adicional, como el número de 4 dígitos en la parte posterior. Una vez alimentada esa información, solicita todo tipo de información adicional, alegando la necesidad de validar la identidad del usuario (edad, fecha de nacimiento, dirección de correo, etc).

Después de que consigue toda la información, le solicita una imagen de la parte frontal y posterior de su identificación. Posteriormente, el malware le pide que se tome una selfie con su identificación en mano.

A partir de este momento, los ciberdelincuentes que controlan el malware ahora tendrán toda la información que necesitan para acceder a sus cuentas online.

Aunque esta no es la primera ocasión en que se detecta un malware que requiere una fotografía, sí es la primera vez que ocurre para malware móvil. Los ciberdelincuentes definitivamente han puesto su atención en este tipo de plataformas.

 

3 pasos para mantenerse seguro

1. No instale plugins dudosos. En su mayoría, Internet emplea formatos diferentes para reproducir videos. Si va a un sitio que le pide que instale un codec o plugin de video, no lo haga. Ese sitio está utilizando un formato obsoleto (que podría ser vulnerable a más malware) o está intentando hacer que usted lo instale. Si cree que le falta un plugin legítimo, vaya directamente al sitio que lo produce e instálelo desde allí. Pero en realidad, la mayoría de los sistemas operativos móviles ya tienen incorporados todos los códecs que necesitan, por lo que en caso de duda, salga de ahí.

2. No tome una foto de su identificación. Siempre debe ser escéptico cuando las aplicaciones empiezan a solicitar demasiada información. Alimentar los datos de pago es una cosa, pero pedir una foto de su identificación es completamente diferente. En general, almacenar ese tipo de información en un servidor (imagen de su identificación, pasaporte, etc.) no es una buena práctica de seguridad, por lo que incluso si la aplicación que está utilizando legítimamente solicita una copia de su identificación, es posible que desee reconsiderar esa aplicación y sustituirla por otra con mejores prácticas de seguridad.

3. Instale software de seguridad. Es importante mantener actualizados sus dispositivos. Dado que este malware es un troyano y se instala con los permisos del usuario, tener su sistema actualizado no lo detendría. Este es un motivo por el que necesita ejecutar software de seguridad, para poder vigilar aplicaciones malintencionadas como esta, que mediante engaños intentan acceder a su dispositivo. Los ciberdelincuentes definitivamente no disminuirán sus esfuerzos para robar sus datos, pero con buenas prácticas de seguridad y protecciones adecuadas implementadas, usted tiene una oportunidad para defenderse.

Por Bruce Snell, de Intel Security

Detectan 316 nuevas ciberamenazas cada minuto

En el segundo trimestre de 2016 fueron detectadas 316 nuevas amenazas cada minuto, o más de 5 cada segundo.

De igual forma, fueron notables los aumentos de ransomware, malware móvil y malware macro, de acuerdo con un reporte de McAfee Labs.

Ransomware. Las 1.3 millones de muestras nuevas de ransomware del segundo trimestre de 2016 representaron el mayor número registrado jamás desde que McAfee Labs comenzó a rastrear este tipo de amenazas. El ransomware total creció 128% el año pasado.

Malware móvil. Las casi 2 millones de muestras nuevas de malware móvil representaron el mayor número jamás registrado por la compañía. El malware móvil creció 151% el año pasado.

Malware macro. Los nuevos downloaders troyanos como Necurs y Dridex que entregan el ransomware Locky, impulsaron un crecimiento de más del 200% en nuevo malware macro en dixho periodo.

Malware Mac OS. La disminución en la actividad de la familia de adware OSX.Trojan.Gen hizo que cayeran las detecciones de malware para Mac OS en 70% durante el segundo trimestre.

Actividad botnet. Wapomi, que entrega gusanos y downloaders, se incrementó 8% en el segundo trimestre. El número dos del trimestre pasado, Muieblackcat, que abre la puerta a explotaciones de vulnerabilidades, cayó 11%.

Ataques a la Red. Al evaluar el volumen de ataques a la red durante el el segundo trimestre, los ataques de denegación de servicio ganaron 11% en el trimestre para trasladarse hacia el primer lugar. Los ataques a navegador cayeron 8% en relación al primer trimestre. Estos más prominentes tipos de ataques fueron seguidos por fuerza bruta, SSL, DNS, Scan, puerta trasera y otros.

Fuente: McAfee Labs

Banca móvil, en el top 10 mundial de malware

Por primera vez en la historia, el malware que amenaza a las transacciones financieras móviles se encuentra entre los 10 principales programas maliciosos diseñados para robar dinero, según el Boletín de Seguridad de Estadísticas Generales de Kaspersky Lab para 2015.

 

Maduran las amenazas financieras móviles

En 2015, dos familias de troyanos para la banca móvil (Faketoken y Marcher) aparecieron en la clasificación de las 10 principales familias de malware financiero. Los programas maliciosos que pertenecen a la familia Marcher roban detalles de los pagos en los dispositivos Android.

 

kaspersky1
Geografía de los ataques del malware bancario en 2015
 (porcentaje de usuarios atacados por los troyanos bancarios, del total de usuarios atacados por malware)

Los representantes de la familia Faketoken funcionan en colaboración con los troyanos de las computadoras. Manipulan a un usuario para hacerle instalar una aplicación en su teléfono inteligente, que en realidad es un troyano que intercepta una sola vez el código de confirmación (mTAN).

La familia Marcher de troyanos para la banca móvil detecta el inicio de sólo dos aplicaciones después de infectar el dispositivo: la aplicación para la banca móvil de un banco europeo y Google Play. Si el usuario abre Google Play, Marcher mostrará una falsa ventana donde se solicitan los datos de la tarjeta de crédito, que luego van a los estafadores. El troyano utilizará el mismo método cuando el usuario abra la aplicación para sus transacciones bancarias.

 

Otras tendencias principales de la actividad de los ciberdelincuentes en 2015:

Para tratar de minimizar el riesgo de ser procesados por sus crímenes, los ciberdelincuentes pasaron de los ataques de malware a una distribución muy agresiva de adware. En 2015, el adware representó el número 12 entre las 20 principales amenazas en la web. Se registraron programas de publicidad en el 26.1% de las computadoras de los usuarios.

Kaspersky Lab también observó nuevas técnicas para enmascarar los ataques, códigos encubiertos (shellcodes) y cargas (payloads) para hacer la detección de las infecciones y el análisis de código malicioso más difícil. Específicamente, los ciberdelincuentes utilizaron el protocolo de cifrado Diffie-Hellman y ocultaron paquetes de ataque en objetos Flash.

Los ciberdelincuentes hicieron uso activo de Tor, la tecnología que facilita el anonimato, para ocultar servidores de órdenes y utilizaron Bitcoins para hacer transacciones.

 

Ransomware: la pesadilla global

En 2015, ransomware expandió rápidamente su presencia en nuevas plataformas. 1 de cada 6 ataques (17%) de ransomware ahora involucra a un dispositivo Android, apenas un año después de que esa plataforma fuera atacada por primera vez.

Se identificaron dos tendencias grandes de ransomware durante 2015: la primera es que el número total de usuarios atacados por ransomware cifrado aumentó a casi 180,000, hasta el 48.3% en comparación con 2014. En segundo lugar, los codificadores se están tornando multimodulares en muchos casos y además del cifrado incluyen funcionalidad diseñada para robar datos de las computadoras de las víctimas.

 

Distribución geográfica de los ataques en línea

El 80% de las notificaciones de ataques bloqueadas por los componentes antivirus fueron recibidas desde recursos en línea ubicados en 10 países.

Los tres principales países donde los recursos en línea fueron sembrados con malware permanecieron sin cambios respecto al año anterior: Estados Unidos (24.2%), Alemania (13%) y los Países Bajos (10.7%).

Esta calificación demuestra que los ciberdelincuentes prefieren operar y utilizar servicios de hosting (alojamiento) en diferentes países donde el mercado de hosting esté bien desarrollado.

kaspersky3
Distribución de las fuentes de ataques web por países en 2015

2016, el año de la extorsión online y malware móvil

Para el próximo año se pronostica un crecimiento continuo de la extorsión en línea, el hacktivismo y el malware móvil, de acuerdo con el informe ‘La Delgada Línea: Predicciones de ciberseguridad 2016’, de Trend Micro.

Según el estudio, 2016 marcará un punto de inflexión para la publicidad maliciosa o malvertising.

Sólo en Estados Unidos, el 48% de los consumidores utiliza software para bloquear la publicidad online, con un aumento del 41% del uso global este año, por lo que los ciberdelincuentes intentarán encontrar otras maneras de obtener información de los usuarios.

La extorsión en línea se acelerará a través del uso de análisis psicológicos y de ingeniería social de las potenciales víctimas. Los hacktivistas se verán forzados a exponer información más comprometedora, impactando incluso en los objetivos y facilitando infecciones secundarias.

Estos son algunas de las principales predicciones que se esperan para 2016, de acuerdo con el informe:

[box]

  • Los cibercriminales idearán nuevas formas de personalizar los ataques, haciendo que 2016 sea el año de la extorsión online.
  • El malware móvil crecerá hasta los 20 millones y afectará principalmente a China, cuyo principal objetivo serán las nuevas opciones de pago móvil a nivel mundial.
  • Cada vez se utilizan más dispositivos inteligentes en las actividades diarias, lo que provocará que, al menos un fallo en un dispositivo, tenga consecuencias que pueden llegar a ser letales en 2016.
  • Los hacktivistas aumentarán el número de métodos de ataque para destruir objetivos sistemáticamente mediante divulgación de datos altamente sensibles.
  • Menos del 50% de las organizaciones preveé tener expertos en ciberseguridad en su empresa a finales de 2016.
  • El aumento de productos y servicios de ad-blocking obligará a los cibercriminales a encontrar nuevos medios para dirigirse a sus víctimas, lo que supondrá un descenso del malvertisement, es decir, los anuncios que distribuyen malware.
  • Desde el punto de vista legal, se ampliará la legislación a un modelo de defensa de ciberseguridad global, lo que permitirá que se lleven a cabo con éxito más arrestos, enjuiciamientos y condenas.

[/box]

Se dispara 200% el malware dirigido a dispositivos móviles

COLOMBIA.- El software maligno enfocados a dispositivos como teléfonos móviles y tablets continuará desarrollándose con técnicas más infecciosas y complejas, de acuerdo con analistas de seguridad.

Como muestra de ello, Kaspersky Lab ha detectado 190,000 tipos de malware para dispositivos móviles en el mundo, en comparación con los 120,000 identificados en 2013 y 40,000 en 2012.

Estos ataques tienen como objetivo robar cuentas bancarias, propiedad intelectual, información personal e incluso extorisonar mediante ataques de ransomware.

Según la empresa de análisis de seguridad informática Alien Vault, los ciberdelincuentes aprovechan la ingenuidad de los usuarios para instalar software maligno en sus computadoras y dispositivos móviles.

En este sentido, el sistema operativo Android, el más usado en países como Argentina, Brasil y México, es víctima de más del 98% de software malicioso, debido a la facilidad de programación, lo que permite la proliferación de aplicaciones ilegítimas.

Rusia, India, Vietnam, Ucrania y Reino Unido son los países más afectados en el mundo por malware en dispositivos móviles, según datos de Kapersky Lab.

Los expertos coinciden en que para evitar ser víctima de ataques cibernéticos se necesita una ‘sana paranoia’ y desconfianza al momento de instalar aplicaciones en los dispositivos móviles y al acceder a enlaces de correos electrónicos.

Las 4 fases de un ciberataque en un dispositivo Android

Un método probado y verdadero que ha sido la base de los ataques de malware de mercado masivo durante años son las estafas de antivirus falsos, que están siendo adaptadas con éxito a los dispositivos móviles.

Se ha observado un crecimiento en el número de productos antivirus para Android promocionados a través de redes de publicidad o el uso de scripts en sitios web móviles, a través de ventanas emergentes en el navegador móvil. La amenaza se basa en la propia credulidad del usuario para seguir las instrucciones y realizar cambios en el perfil de seguridad de sus dispositivos móviles que resultan perjudiciales para su equipo.

Un reciente ataque fue rastreado por el Laboratorio de Seguridad de Blue Coat, en el cual un anuncio de móviles fue el primer paso en un ataque de ingeniería social de cuatro fases:

  • Fase 1: Una publicidad móvil de seguridad que suena legítima nos alerta. Le informa al consumidor que tiene un virus y lo lleva a hacer clic en el botón “OK” para eliminarlo.
  • Fase 2: Aparece una advertencia de Android y le pide al usuario que elimine el virus.
  • Fase 3: Se realiza una “exploración” y devuelve información sobre el supuesto virus, incluyendo los detalles sobre su comportamiento malicioso (en este caso robar contraseñas e información de tarjetas de crédito), y se le pide al usuario instalar una un App.
  • Fase 4: Una vez descargado el archivo, la ventana hace que el usuario cambie las instalaciones de servicios de terceros en la Configuración (la función que evita descargas de aplicaciones provenientes de sitios diferentes a Google Play Market, que pueden albergar aplicaciones malintencionadas y no tienen fiabilidad garantizada).

 

Reporte de Malware para dispositivos móviles 2014

Blue Coat Systems reveló en su “Reporte de Malware para dispositivos móviles 2014”, distintos tipos de ataques y cómo el usuario puede ser alertado sobre ellos. Por ejemplo, una aplicación maliciosa de Android llamada Dendroid, con la que se pueden grabar todas las llamadas telefónicas en secreto o escuchar en el micrófono incorporado en silencio cada vez que se quiere, así como también enviar mensajes SMS a números tarifados sin que el propietario del teléfono se entere.

Otro dato interesante es que, en general, las amenazas móviles más prolíficas son el spam, los enlaces envenenados en los sitios de redes sociales y las rogue APPs (falsos antivirus). La naturaleza de estas amenazas implica que el comportamiento del usuario es clave tanto en la identificación de dónde pueden producirse los ataques (los sitios de redes sociales, por ejemplo) como en la comprensión de cómo pueden evolucionar los ataques.

Asimismo, las diversas clases de troyanos que son capaces de robar datos también operan sobre cualquier red de telefonía móvil o de cualquier red WiFi conectada. Cuando estos tipos de software maliciosos transmiten su información a través de redes de telefonía móvil, ocasionan una gran pérdida información que es difícil de superar en un entorno corporativo.

 

Las etapas de un ataque móvil

Actualmente los ataques móviles más comunes son los que requieren que los usuarios actúen tomando medidas, ya sea para cambiar su configuración de seguridad, descargar una aplicación o de dar el control de su dispositivo a un tercero. Este tipo de ingeniería social sigue siendo la principal forma en que los criminales cibernéticos determinan el comportamiento usuario para tomar decisiones peligrosas que comprometen su dispositivo.

Blue Coat Systems observa un uso generalizado de exploit kits o métodos que requieren la interacción del usuario para infectar los dispositivos Android con APKs (Application Package File) maliciosas. Normalmente, los usuarios son fuertemente provocados, para desactivar el ajuste de restricción de “fuentes del mercado de confianza” dentro de Android, que limita la capacidad de la plataforma para instalar aplicaciones arbitrarias de otras fuentes distintas del propio Google Market.