Malware dirigido a la banca móvil entra por primera vez en el top 10 de programas maliciosos financieros

El Boletín de Seguridad de Estadísticas Generales de Kaspersky Lab para 2015 pone de manifiesto una nueva tendencia: por primera vez en la historia, el malware que amenaza a las transacciones financieras móviles se encuentra entre los 10 principales programas maliciosos diseñados para robar dinero.

00152789-original.jpeg

Geografía de los ataques del malware bancario en 2015, (porcentaje de usuarios atacados por los troyanos bancarios, del total de usuarios atacados por malware)

00152790-original.jpeg

Número de usuarios atacados por programas Trojan-Ransom (último trimestre de 2014 – tercer trimestre de 2015).

00152791-original.jpeg

Distribución de las fuentes de ataques web por países en 2015.

Dos familias de troyanos que atacan a la banca móvil -Faketoken y Marcher- fueron incluidos entre los 10 principales troyanos de 2015 dirigidos a ese sector. Otra tendencia notable y alarmante para 2015 fue la rápida propagación del ransomware. Kaspersky Lab lo detectó en 200 países y territorios en 2015.

Maduran las amenazas financieras móviles

En 2015, dos familias de troyanos para la banca móvil (Faketoken y Marcher) aparecieron en la clasificación de las 10 principales familias de malware financiero. Los programas maliciosos que pertenecen a la familia Marcher roban detalles de los pagos en los dispositivos Android.

Los representantes de la familia Faketoken funcionan en colaboración con los troyanos de las computadoras. Manipulan a un usuario para hacerle instalar una aplicación en su teléfono inteligente, que en realidad es un troyano que intercepta una sola vez el código de confirmación (mTAN). La familia Marcher de troyanos para la banca móvil detecta el inicio de sólo dos aplicaciones después de infectar el dispositivo: la aplicación para la banca móvil de un banco europeo y Google Play. Si el usuario abre Google Play, Marcher mostrará una falsa ventana donde se solicitan los datos de la tarjeta de crédito, que luego van a los estafadores. El troyano utilizará el mismo método cuando el usuario abra la aplicación para sus transacciones bancarias.

"En 2015, los ciberdelincuentes centraron tiempo y recursos en el desarrollo de programas financieros maliciosos para dispositivos móviles. Esto no es sorprendente, ya que millones de personas en todo el mundo ahora utilizan sus teléfonos inteligentes para pagar por bienes y servicios. Sobre la base de las tendencias actuales, podemos suponer que en 2016 el malware para la banca móvil representará una proporción aún mayor", comentó Yuri Namestnikov, Investigador Senior de Seguridad del Equipo de Investigación y Análisis Global en Kaspersky Lab.

Sin embargo, la "tradicional" ciberdelincuencia financiera no ha disminuido. Las soluciones de Kaspersky Lab, en total, bloquearon en 2015 casi dos millones (1,966,324) de intentos de ejecutar malware capaz de robar dinero valiéndose de las transacciones bancarias efectuadas en línea utilizando computadoras, un aumento del 2.8 por ciento por encima del año 2014 (1,910,520).

ZeuS destronado

Las numerosas modificaciones de ZeuS, la familia de malware más utilizada, fueron destronadas por Dyre/Dyzap/Dyreza. Más del 40 por ciento de los atacados por troyanos bancarios en 2015 se vieron afectados por Dyreza, que utilizó un método de inyección efectiva en la web con el fin de robar los datos y acceder al sistema de banca en línea.

Otras tendencias principales de la actividad de los ciberdelincuentes en 2015:

  • Para tratar de minimizar el riesgo de ser procesados por sus crímenes, los ciberdelincuentes pasaron de los ataques de malware a una distribución muy agresiva de adware. En 2015, el adware representó el número 12 entre las 20 principales amenazas en la web. Se registraron programas de publicidad en el 26.1 por ciento de las computadoras de los usuarios.
  • Kaspersky Lab también observó nuevas técnicas para enmascarar los ataques, códigos encubiertos (shellcodes) y cargas (payloads) para hacer la detección de las infecciones y el análisis de código malicioso más difícil. Específicamente, los ciberdelincuentes utilizaron el protocolo de cifrado Diffie-Hellman y ocultaron paquetes de ataque en objetos Flash.
  • Los ciberdelincuentes hicieron uso activo de Tor, la tecnología que facilita el anonimato, para ocultar servidores de órdenes y utilizaron Bitcoins para hacer transacciones.

Ransomware: La pesadilla global

En 2015, ransomware expandió rápidamente su presencia en nuevas plataformas. Uno de cada seis ataques (17 por ciento) de ransomware ahora involucra a un dispositivo Android, apenas un año después de que esa plataforma fuera atacada por primera vez. Los expertos de Kaspersky Lab identificaron dos tendencias grandes de ransomware durante 2015. La primera es que el número total de usuarios atacados por ransomware cifrado aumentó a casi 180K, hasta el 48.3 por ciento en comparación con 2014. En segundo lugar, los codificadores se están tornando multimodulares en muchos casos y además del cifrado incluyen funcionalidad diseñada para robar datos de las computadoras de las víctimas.

Número de usuarios atacados por programas Trojan-Ransom (último trimestre de 2014 – tercer trimestre de 2015)

En 2015, los productos de Kaspersky Lab:

  • Neutralizaron intentos de ejecución de malware capaz de robar dinero en las transacciones bancarias en línea en casi dos millones de computadoras en todo el mundo, en comparación con un 2.8 por ciento en 2014.
  • Detectaron cuatro millones de objetos maliciosos únicos y potencialmente indeseados (amenazas locales); un aumento frente a los 1,840,000 en 2014.
  • Revelaron que dos tercios (67.7 por ciento) de las computadoras, discos duros o medios extraíbles pertenecientes a usuarios de KSN en los 20 países principales contenían al menos un objeto malicioso, superior al 58.7 por ciento en 2014.
  • Detectaron 120 millones de objetos maliciosos únicos: scripts, ataques, archivos ejecutables, etc. Una caída de 1.4 por ciento en comparación con 2014.

La distribución geográfica de los ataques en línea

El 80 por ciento de las notificaciones de ataques bloqueadas por los componentes antivirus fueron recibidas desde recursos en línea ubicados en 10 países. Los tres principales países donde los recursos en línea fueron sembrados con malware permanecieron sin cambios respecto al año anterior: Estados Unidos (24.2 por ciento), Alemania (13 por ciento) y los Países Bajos (10.7 por ciento). Esta calificación demuestra que los ciberdelincuentes prefieren operar y utilizar servicios de hosting (alojamiento) en diferentes países donde el mercado de hosting esté bien desarrollado.