Llegamos a ustedes gracias a:



Noticias

Kaspersky descubre tres nuevas familias de malware para móviles

[02/09/2021] En una reciente reunión denominada Konferencia@Casa 2021, la firma de seguridad Kaspersky presentó los más recientes hallazgos realizados a partir de los datos que obtiene de su extensa red de usuarios en todo el mundo. Este año la novedad la constituyen tres familias de malware tipo RAT (remote access tools) que permiten a los delincuentes acceder a dispositivos móviles, principalmente atacando a aquellos que cuenten con aplicaciones financieras en ellos.

La presentación estuvo a cargo de Fabio Assolini y Fabio Marenghi, ambos analistas senior de seguridad de la firma rusa.

Fabio Assolini y Fabio Marenghi, ambos analistas senior de seguridad de Kaspersky.

La mano fantasma

Sobre las nuevas familias de RAT, Assolini fue el primero en señalar que, dadas sus características, este malware encontrado podría ser denominado como 'la mano fantasma'. ¿La razón? El malware se apropia del control del dispositivo móvil de la víctima y puede llegar a usarlo como si una mano invisible lo operara, sin que su dueño pudiese percibir alguna de sus acciones. Como señaló el analista en su introducción "las huellas digitales, la autenticación de reconocimiento facial y muchas otras medidas de seguridad son inútiles contra este malware.

La primera familia de RAT que se presentó fue Ghimob. Este es una RAT para dispositivos móviles que toma el control total del aparato. El vector de infección inicial generalmente es un correo electrónico con diversas temáticas que engaña al usuario y logra instalar el malware en el dispositivo; generalmente abusa del modo de accesibilidad del teléfono -el que ofrece herramientas para personas con alguna discapacidad visual- y, en general, es muy difícil de desinstalar manualmente.

Cuando la víctima desbloquea su dispositivo con una contraseña o un patrón, Ghimob graba estas claves y si necesita la huella dactilar para ingresar a una aplicación financiera lo hace simulando una pantalla de bloqueo para que el usuario use su huella supuestamente para desbloquear el teléfono; en realidad, le está dando pase a una aplicación financiera al malware. Y si no lo logra de esta manera, el criminal aún puede acceder a las contraseñas pidiendo a las aplicaciones recuperar las contraseñas a través de un SMS o correo electrónico. Como el malware tiene el control total del teléfono accederá al método de recuperación de contraseña.

Y si alguna aplicación solicita reconocimiento facial, no hay problema, Ghimob simula una videollamada de WhatsApp y graba el rostro del usuario. Otra técnica usada por los usuarios de este malware es simular un regalo físico en el domicilio de la víctima y pedir una foto o video con la entrega del regalo. El falso repartidor se retirará con esta información y con otros datos que pueda recopilar con la entrega del falso regalo.

¿Dónde ataca Ghimob? De acuerdo con Kaspersky, este malware ha atacado a más de 150 organizaciones financieras, la mayoría (113) en Brasil, lugar de origen del malware; pero también ha atacado organizaciones en Portugal, Alemania, Paraguay, Angola, Mozambique y, por supuesto, Perú. En nuestro país ha atacado a las aplicaciones de dos instituciones financieras, aunque en una pregunta posterior a la reunión, los analistas de Kaspersky especificaron que el 'ataque' no implica que se haya aprovechado alguna falla o vulnerabilidad en las aplicaciones, sino que el malware está dirigido a activarse y comenzar a robar información del dispositivo cuando percibe el uso de estas dos aplicaciones.

La otra familia de malware presentada fue BRata. Este malware es más audaz ya que inclusive logró que la gente lo instalara en 40 mil ocasiones desde la tienda oficial de Android. Se presentaba a través de una falsa notificación en el navegador que le indicaba al usuario que era necesario actualizar Chrome, WhatsApp, Gmail o un lector de PDF.

Este malware también permite el acceso remoto y el control total del teléfono, incluso redireccionando a páginas de phishing. Este malware ha robado datos de 12 aplicaciones financieras de Brasil, seis aplicaciones de entidades mejicanas y una aplicación global de intercambio de criptomonedas. El país favorito para sus ataques es Estados Unidos, pero también se ha encontrado en menor medida en España, Argentina, Sudáfrica y Rusia.

Finalmente, la tercera familia de malware es TwMobo, y también la más reciente. A esta familia los analistas de Kaspersky la apodaron la "Dura de matar, pues su desinstalación es muy complicada. Hacerlo manualmente es casi imposible. Este malware se encuentra interesado no solo en los datos financieros del dispositivo, sino también en los datos de las redes sociales como WhatsApp, Instagram, Tik Tok, Snapchat y Facebook. Tan pronto se instala este troyano, se otorga derechos de administrador e inicia su módulo de protección, lo que impide que el usuario desinstale el malware y lo elimine de la configuración de administración del dispositivo.

Este malware ha podido atacar cuatro aplicaciones bancarias de Brasil, una aplicación bancaria internacional, el navegador Brave y aplicaciones de redes sociales. Nuevamente, el país más atacado es Estados Unidos, seguido de Brasil, India y China.

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina de Kaspersky.
Dmitry Bestuzhev, Kaspersky, malware móvil, Kaspersky

Cabe recalcar que estas familias son de origen brasileño, pero de alcance internacional, lo que ha llevado a Kaspersky a afirmar que los criminales brasileños han estado internacionalizando sus operaciones, empezando por América Latina, Europa y Estados Unidos. Ahora siguen el modelo del cibercrimen organizado de Europa del Este.

Por otro lado, también es de resaltar que el avance que se ve en la cibercriminalidad no solo consta de malware para móviles. Como sostuvo Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina de Kaspersky, los ataques a los escritorios remotos no han hecho sino aumentar este año, incluso frente a las cifras que se vieron en el 2020, el año de inicio de la pandemia.

No hay entorno que se salve. Absolutamente todos los ambientes (Windows, Mac, Linux, Estaciones de trabajo, servidores, máquinas virtuales, móviles e incluso los sistemas industriales de control [ICS, por sus siglas en inglés]) han sufrido ataques de diversos tipos de malware. De hecho, se estima que en lo que va del año -hasta agosto- se han producido tantos ataques como en todos los 12 meses del año pasado, lo que implica que el 2021 va a superar ampliamente al año anterior.