Se registra un aumento significativo de la actividad del malware móvil

  • Endpoint

Malware movil

El ciberespionaje se ha convertido en uno de los principales objetivos de los hackers, resaltando el caso Pegasus en el mes de mayo. Las vías empleadas para distribuir el malware móvil son el smishing, el uso de Pop-Ups, y los mercados oficiales y no oficiales de aplicaciones.

S21sec ha publicado su informe semestral, Threat Landscape Report, del que se desprende que los dispositivos móviles se han convertido en uno de los principales objetivos de los cibercriminales durante los primeros seis meses del año, registrándose un aumento significativo de la actividad del malware móvil.

“Como viene ocurriendo en los últimos años y en los primeros seis meses de 2022, se ha producido un aumento de la actividad del malware móvil. Los ciberdelincuentes han añadido los teléfonos y tabletas inteligentes a su lista de objetivos principales, lo que ha provocado un aumento de las amenazas, dirigidas específicamente contra este tipo de dispositivos”, destaca Sonia Fernández, responsable del equipo de Inteligencia de S21sec.

Según el informe, hay cuatro vías para distribuir el malware dirigido a los dispositivos móviles:

--Ataques de smishing: los cibercriminales suplantan la identidad de las aplicaciones, entidades bancarias o empresas de mensajería. Estos mensajes normalmente incluyen una página fraudulenta en la que se pide al usuario información personal para el robo de credenciales o una URL en la que se dirige a una página donde se le descargará un malware.

--Utilización de Pop-Ups: son anuncios en páginas web en los que se insta a los usuarios a descargar una aplicación. Se han observado muchos casos en los cuales los cibercriminales instan a sus víctimas a instalar falsas actualizaciones de software.

--Mercados no oficiales de aplicaciones: en estos mercados aparecen numerosas aplicaciones con apariencia legítima o copia de la aplicación que impide al usuario darse cuenta de que es fake, añadiendo a la misma un código malicioso.

--Mercados oficiales como Google Play o Apple Store: aunque cuentan con medidas de seguridad internas para evitar que existan aplicaciones con códigos maliciosos para descarga, se han encontrado casos en los que una aplicación con apariencia legítima se trata de una aplicación que contiene algún tipo de malware.

Spyware y troyanos

Entre los ataques de malware móvil más relevantes destaca el protagonizado por el spyware Pegasus, desarrollado por la empresa de seguridad israelí NSO Group, que ha tomado gran relevancia este semestre por su uso contra miembros de gobiernos estatales y autonómicos, así como contra periodistas, y personas de relevancia. Uno de los casos más sonados en España ha sido el de cómo este malware infectó los teléfonos móviles del presidente del Gobierno, Pedro Sánchez, y la ministra de Defensa, Margarita Robles, entre otras autoridades.

“Este software aprovecha la vulnerabilidad del teléfono, envía un SMS, y a través de ese SMS aunque no hagas nada, te infectan a través del método de «clic cero». No dejan rastro en el teléfono, y son súper difíciles de detectar”, señala Sonia Fernández. “Lo más importante para evitar que te instalen este tipo de software espías, es que debes tener control sobre tu dispositivo móvil ya que te lo pueden instalar en cuestión de segundos. Es muy importante también tener actualizado el software del terminal y no hacer click en direcciones, correos o mensajes que no conozcas”.

Otras variantes de malware móvil relevantes son Xenomorph y Flubot. Xenomorph es un troyano bancario de Android descubierto por primera vez en febrero de 2022 y que se disfraza de aplicación legítima. Cuando el usuario abre su aplicación bancaria, este malware realizará un ataque de overlay, superponiendo una página falsa que suplanta la página del acceso del banco con el objetivo de que sus víctimas introduzcan sus claves de inicio de sesión y robarle los datos y el dinero.

Por su parte, Flubot se distribuye a través de mensajes de texto SMS, llamadas perdidas o alertas suplantando a diferentes entidades con el objetivo de difundir enlaces maliciosos donde se descarga el malware como falsos programas de rastreo de envíos de paquetería u otros servicios. Cabe destacar que en mayo la infraestructura detrás de Flubot fue desactivada por la policía holandesa y a principios del mes de junio la Europol anunció la eliminación total del malware. Las autoridades europeas detallaron cómo la operación policial internacional habría involucrado a once países con el objetivo de desmantelar este malware.