Android centra los ataques en marzo
Marzo volvió a tener como protagonistas en el mundo de las ciberamenazas a los dispositivos móviles, algo lógico después de la celebración del Mobile World Congress en Barcelona y de las múltiples presentaciones de productos y soluciones que allí se produjeron.
De hecho, Android, el sistema operativo más utilizado en smartphones y tabletas, fue el protagonista indiscutible de las amenazas analizadas por los laboratorios de ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, durante el mes de marzo.
Un buen ejemplo de ello es Jisut, un ransomware para Android que tenía la peculiaridad de indicar las instrucciones para recuperar los archivos cifrados a viva voz. El análisis de este ransomware, descubierto por los investigadores de ESET, reveló que su principal objetivo era la comunidad china que descarga aplicaciones maliciosas desde mercados no oficiales. El móvil quedaba bloqueado y, además, los delincuentes intentaban obtener las credenciales de acceso del usuario a QQ, una conocida red social china, mediante el uso de una página falsa de acceso.
A lo largo del mes también se detectaron numerosas aplicaciones fraudulentas en Google Play que se hacían pasar por herramientas para gestionar o aumentar el número de seguidores en Instagram. Lo que buscaban realmente estas herramientas era obtener las credenciales de acceso de quienes las instalaran en sus dispositivos, usando para ello páginas de phishing. Una vez obtenidas, usaban las cuentas robadas para incrementar el número de seguidores de otros usuarios, algo que se puede hacer desde algunos sitios web que ofertan esta posibilidad.
El popular juego Minecraft también fue usado por los ciberdelincuentes para engañar a los usuarios. ESET desveló 87 mods falsos que podían descargarse como apps desde Google Play y que mostraban publicidad invasiva a los usuarios que los hubieran instalado.
“Una de las técnicas que están utilizando los delincuentes para conseguir más instalaciones de sus aplicaciones a través de Google Play es el engaño de las buenas puntuaciones”, explica Josep Albors, Head of Awareness & Research de ESET España. “Cuando el usuario instala una de estas aplicaciones fraudulentas y empieza a mostrarse publicidad de forma constante, la aplicación le ofrece eliminarla a cambio de que le dé una puntuación de cinco estrellas. Algunas aplicaciones van más allá e incluso exigen esta puntuación para poder usarlas”, continúa el investigador. Este engaño no sólo va en contra de la política de desarrolladores de Google Play si no que, muchas veces, tampoco garantiza que la aplicación funcione como supuestamente debería. “Los usuarios no deben de guiarse solamente por el número de instalaciones o su puntuación. Nos puede ahorrar un disgusto leer los comentarios de los usuarios o fijarnos si son aplicaciones de desarrolladores destacados”, recomienda Albors.
Los switches de Cisco ponen en jaque a la CIA
Si hablamos de vulnerabilidades, la noticia más comentada fue la publicación de una gran cantidad de información relacionada con Vault 7, el arsenal de la CIA usado para acceder a sistemas y dispositivos de todo tipo repartidos por todo el mundo. A pesar de que muchas de las vulnerabilidades publicadas ya estaban solucionadas desde hace tiempo, aún quedaban algunas que podían seguir siendo aprovechadas. Una de estas vulnerabilidades es la que afectó a switches de la conocida marca Cisco y que permitiría a un atacante remoto provocar el reinicio del dispositivo o la ejecución de código con permisos elevados. Todo esto debido a una instalación deficiente del protocolo Telnet y para la cual aún no se ha publicado una solución, pero sí medidas para mitigarlo.
El mes de marzo ha destacado también por la cantidad de parches de seguridad publicados por los grandes fabricantes, como Microsoft y Apple. Precisamente Microsoft fue noticia durante febrero porque no publicó un parche para una muy comentada vulnerabilidad en el manejo del tráfico SMB y para la cual existía un exploit. En total fueron 18 boletines de seguridad que corregían la nada despreciable cantidad de 140 fallos.
Apple, por otro lado, publicó a finales de mes una serie de parches para muchos de sus productos y sistemas operativos que resolvían un total de 223 vulnerabilidades en macOS, iOS, tvOS y watchOS, entre otros. Muchas de esas vulnerabilidades hubiesen permitido a un atacante ejecutar código arbitrario incluso como administrador del sistema, por lo que la publicación de estos parches es una buena noticia para todos los usuarios de estos productos.
También WordPress, uno de los gestores de contenido más utilizado a nivel mundial, publicó una actualización de seguridad para solucionar, entre otras, seis vulnerabilidades que un atacante podría aprovechar para realizar acciones malintencionadas y otros 39 fallos no relacionados con la seguridad.
La campaña de la renta, objetivo del malware a través de spam
El correo electrónico ha sido uno de los vectores de ataque más utilizados por los delincuentes para propagar sus amenazas durante el mes de marzo. “Parece mentira que en pleno 2017 este método de propagación siga siendo tan eficaz, lo que demuestra que aún queda mucho trabajo por hacer para concienciar a los usuarios”, afirma Josep Albors.
Como ejemplo, desde el Laboratorio de ESET se detectó una nueva campaña de propagación que suplantaba a la Agencia Tributaria y que, aprovechando la cercanía del inicio de la campaña de la renta, intentaba infectar a un gran número de usuarios españoles con un troyano. Su descarga se camuflaba en un aparentemente inofensivo archivo .doc adjunto.
En marzo también se detectó el retorno de la botnet Necurs, muy activa hasta finales de 2016. En su vuelta, Necurs ha sorprendido porque ha cambiado su modelo de negocio completamente. Ha dejado de propagar variantes de ransomware para apostar por una estrategia de compraventa de acciones difundida a través de correo electrónico. Su objetivo eran usuarios incautos que mordían el anzuelo de querer subir considerablemente el valor de las acciones de una empresa. Los delincuentes consiguieron obtener importantes beneficios durante los dos días en los que se observaron picos de propagación de este tipo de correos.
Estos ejemplos confirman que el spam continúa usándose como vector de ataque, y va a seguir usándose, al menos, hasta que los delincuentes encuentren otro mecanismo que les garantice un elevado número de víctimas, con poco esfuerzo.