Desde principios de febrero, los investigadores de Proofpoint han detectado un aumento del 500% en los intentos de envío de malware para móviles en Europa. Este aumento va en consonancia con la tendencia observada en los últimos años, en la que el abuso de la mensajería móvil ha aumentado de forma constante, con un incremento en los intentos de smishing (phishing a través de SMS/mensajes de texto) y el envío de malware a dispositivos móviles.
En 2021 se detectaron varios paquetes de malware diferentes en todo el mundo. Aunque el volumen cayó bruscamente hacia finales del pasado año, estamos viendo un resurgimiento en 2022. El malware móvil actual es capaz de mucho más que robar credenciales. Recientemente, se ha detectado malware capaz de grabar audio y vídeo telefónico y no telefónico, rastrear la ubicación y destruir o borrar contenidos y datos. Pero, ¿cuáles son los programas maliciosos para móviles más comunes a los que se enfrentan los usuarios?
Estado del malware para móviles
En esencia, el malware para móviles tiene el mismo propósito que su homólogo para ordenadores de sobremesa. Una vez instalado, busca dar a los atacantes el control del dispositivo, pudiendo desviar información sensible y credenciales de cuentas. La gran diferencia está en los mecanismos de distribución y en las estrategias de ingeniería social.
A medida que el malware para móviles se hace más avanzado, se roban nuevos tipos de datos, con un impacto potencial aún mayor. Entre ellos se encuentran:
- Grabaciones de conversaciones telefónicas y no telefónicas
- Grabaciones de audio y vídeo desde el dispositivo
- Destrucción o borrado de contenidos y datos
Un enlace de phishing/smishing intenta engañar al usuario para que introduzca sus credenciales en una página de inicio de sesión falsa casi en tiempo real. El malware de banca móvil, en cambio, puede esperar hasta que el usuario active una aplicación financiera. En ese momento, el malware interviene para robar credenciales o información. Mientras tanto, las víctimas creen que están interactuando de forma segura con la aplicación bancaria genuina instalada en su dispositivo.
Los cinco malware más comunes para móviles
Según el informe Cloudmark Mobile Threat Research, de Proofpoint, los ataques se originan en regiones de todo el mundo, utilizando una multitud de vectores de ataque para hacer llegar el malware a los dispositivos objetivo. Estos ataques afectan a usuarios de todo el mundo y su alcance y capacidades están aumentando con el tiempo. Estas son algunas de las principales familias de malware que utilizan el SMS como vector de amenaza:
FluBot: malware de tipo gusano identificado por primera vez en España en noviembre de 2020. Se propaga accediendo a la lista de contactos o a la libreta de direcciones del dispositivo infectado y enviando la información a un servidor de comando y control (C&C), que ordena entonces el envío de nuevos mensajes infectados a los números de la lista.
Además de propagarse, FluBot también puede acceder a Internet, leer y enviar mensajes, leer notificaciones, hacer llamadas de voz y eliminar otras aplicaciones. Cuando se utilizan las aplicaciones seleccionadas, FluBot superpone una pantalla diseñada para robar los nombres de usuario y las contraseñas de bancos, corredores de bolsa y otros sitios.
TeaBot: troyano multifuncional observado por primera vez en Italia, que puede robar credenciales y mensajes, así como transmitir el contenido de la pantalla de un dispositivo infectado al atacante. Está preconfigurado para robar credenciales a través de las aplicaciones de más de 60 bancos europeos y es compatible con varios idiomas. Se ha dirigido a instituciones financieras de España y Alemania.
TeaBot se propaga mediante mensajes SMS similares a los de FluBot y puede comprometer cuentas y robar fondos de las víctimas.
TangleBot: Descubierto por Proofpoint y Cloudmark en 2021, es un potente, pero escurridizo malware que se propaga principalmente a través de falsas notificaciones de entrega de paquetes. Detectado originalmente en Norteamérica, ha aparecido recientemente en Turquía.
Sus ataques siguen siendo poco frecuentes. Pero si se hace más frecuente, los peligros podrían ser considerables. Además de su capacidad para controlar dispositivos y superponer otras aplicaciones móviles, TangleBot añade la interceptación de cámaras y audio.
Moqhao: malware basado en SMS desplegado por Roaming Mantis, un grupo de ciberdelincuentes con sede en China. Se ha detectado en varios países, como Japón, China, India, Rusia y, más recientemente, Francia y Alemania. Estos ataques son multilingües, y las páginas web de destino están redactadas en el idioma del destinatario. Es un troyano de acceso remoto funcional con características de espionaje y exfiltración. Puede monitorizar las comunicaciones del dispositivo y conceder al atacante acceso remoto al mismo.
BRATA: malware de banca móvil que se dirige a los clientes de los bancos italianos y utiliza los SMS para hacerles descargar una falsa aplicación de seguridad. Una vez instalado, puede grabar la actividad de la pantalla del teléfono e insertar superposiciones de aplicaciones para robar credenciales.
¿Cómo pueden protegerse los usuarios?
El panorama del malware móvil evoluciona rápidamente, con la aparición de nuevos actores y nuevas capacidades. Al mismo tiempo, las tácticas de ingeniería social que utilizan los atacantes se perfeccionan constantemente. La concienciación es fundamental, pero muchos usuarios siguen sin conocer el alcance del peligro que supone el malware para móviles.
Para protegerse, es fundamental desconfiar de cualquier mensaje inesperado o no solicitado con enlaces, URLs o solicitudes de datos de cualquier tipo. Y al igual que con los ordenadores de sobremesa y los portátiles, es una buena idea utilizar una aplicación antivirus para móviles de una fuente de confianza. Un reciente estudio de Security.org reveló que el 76% de los usuarios no tiene ninguna instalada en su smartphone.
Por último, es clave denunciar el spam, el smishing y las sospechas de envío de programas maliciosos al Servicio de Denuncia de Spam, a través de la función de notificación de spam del operador de mensajería.