Los peligros de Scranos, un nuevo spyware
Pese a que muchos de sus componentes están aún en las primeras fases de su desarrollo, todo apunta a que se trata de una amenaza muy sofisticada. España se encuentra entre los 20 países más afectados.
Bitdefender, líder en seguridad informática que protege más de 500 millones de sistemas en 150 países, anuncia que el malware Scranos, un nuevo spyware que se propaga mediante programas de software o aplicaciones pirateadas con apariencia legítima, tales como lectores de libros electrónicos, reproductores de archivos de vídeo, drivers o, incluso, soluciones antimalware, está incrementando y extendiendo su actividad a nivel global, llegando a afectar ya a equipos de todo el mundo.
El spyware Scranos está íntimamente ligado al sistema operativo y es extremadamente sigiloso y difícil de detectar. Todo apunta a que sus desarrolladores buscan rentabilizarlo mediante tres vías principales: robando las credenciales de pago de los usuarios en sitios como Facebook, Amazon y Airbnb; utilizando los perfiles de los usuarios para inflar las estadísticas de redes sociales o el número de visitas a determinadas páginas que utilizan modalidades de pago por clic y diseminando malware de otras organizaciones criminales a cambio de un pago por utilizar la red de Scranos.
En estos momentos, este software espía presenta actividad en 162 países, y con mayor incidencia en Italia, Rumanía, Brasil, Francia, India e Indonesia. España se encuentra entre los 20 países del mundo más afectados y se estima que un 1,5% de los dispositivos infectados por Scranos son españoles.
Según Bitdefender, este malware aún no está completamente maduro y se halla en continua evolución. Todo apunta a que sus creadores no dejan de probar nuevos componentes en usuarios ya infectados y que llevan a cabo frecuentes mejoras en los componentes antiguos. Los expertos de Bitdefender consideran que Scranos puede llegar a tener una incidencia igual o superior al adware Zacinlo, dada su capacidad para secuestrar dispositivos móviles y para sobrevivir en diversas plataformas, particularmente en dispositivos móviles Android.
“A pesar de que este malware con rootkit representa actualmente menos del 1% del malware en el mundo, el hecho de que los delincuentes informáticos puedan obtener certificados digitales válidos se viene asociando a ataques selectivos de alto perfil procedentes de estados y de amenazas persistentes avanzadas (APTs)”, afirma Bogdan Botezatu, director de Threat Research and Reporting en Bitdefender. “Los creadores de Scranos han desarrollado un sofisticado malware firmado con un certificado digital válido y probablemente obtenido por medios ilícitos. Ya hemos notificado a la entidad de certificación correspondiente que Scranos utiliza de manera fraudulenta un certificado emitido por ellos”, concluye Botezatu.
Los síntomas del malware Scranos no son visibles de inmediato en los dispositivos infectados, sino que se manifiestan en la actividad de los perfiles de redes sociales de los usuarios, con actuaciones o comportamientos extraños de los que los usuarios no tienen constancia, o bien en el historial de pagos o en facturas por artículos o servicios que no han adquirido. El rootkit de Scranos imita la actividad legítima del usuario, gracias al acceso a las credenciales de este para validar dichas actividades, y deja también escasos rastros forenses.
Más concretamente, los componentes de este malware están dirigidos a:
· Extraer cookies y robar credenciales de inicio de sesión de Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser y Yandex Browser.
· Robar las credenciales de pago de los perfiles de Facebook, Amazon y Airbnb de los usuarios.
· Enviar solicitudes de amistad a otras cuentas desde la cuenta de Facebook del usuario.
· Enviar mensajes de phishing a los amigos de Facebook de la víctima con archivos APK (Android Application Package) maliciosos que se utilizan para infectar también a los usuarios de Android.
· Robar credenciales de inicio de sesión de la cuenta del usuario en la plataforma de juegos online Steam.
· Inyectar adware JavaScript en Internet Explorer.
· Instalar las extensiones de Chrome u Opera para inyectar adware JavaScript también en estos navegadores.
· Dar a conocer el historial de navegación.
· Mostrar discretamente a los usuarios anuncios o vídeos silenciados de YouTube a través de Chrome. Hemos encontrado algunos instaladores de malware que pueden instalar Chrome, si no lo está ya, en el equipo de la víctima.
· Suscribir a los usuarios a canales de vídeo de YouTube.
· Descargar y ejecutar cualquier carga útil.