Uno de estos malware —que todavía no tiene nombre oficial— fue descubierto por la compañía de seguridad Dr. Web, que lo encontró distribuyéndose a través de ciertas aplicaciones en GetApps (la tienda de aplicaciones para dispositivos Xiaomi).

¿Por qué mi celular da clics solo? Así funciona el troyano Phantom

De acuerdo con el informe, estos malware pertenecen a la familia de troyanos para Android y funcionan de manera curiosa: para iniciarse, los virus hacen uso de TensorFlow.js (la librería de código abierto de Google) para ejecutar modelos de IA a través de navegadores web.

El troyano opera bajo una modalidad conocida como “Phantom”, la cual abre una ventana de navegador invisible y carga una página en la que comienza a hacer clic en diferentes anuncios. Lo más interesante de este virus es que, al utilizar inteligencia artificial, puede ocultar mejor su comportamiento frente a los motores de búsqueda y entender con mayor precisión la ubicación de la publicidad.

¿Puede mi celular estar infectado?

Algunas de las aplicaciones afectadas que fueron encontradas con este malware son las siguientes:

– Theft Auto Mafia: 61,000 descargas.

– Cute Pet House: 34,000 descargas.

– Creation Magic World: 32,000 descargas.

– Amazing Unicorn Party: 13,000 descargas.

– Open World Gangsters: 11,000 descargas.

– Sakura Dream Academy: 4,000 descargas.

Una advertencia importante es que, aunque los troyanos fueron encontrados principalmente en la tienda de aplicaciones de Xiaomi, también están siendo distribuidos a través de otros sitios. Por ejemplo, se hallaron apps infectadas en portales de APK (como Apkmody o Moddroid), especialmente en versiones modificadas de aplicaciones oficiales (por ejemplo, WhatsApp Blue).

Los investigadores también encontraron que las versiones infectadas de estas aplicaciones estaban siendo compartidas a través de ciertos canales de Telegram e incluso en un servidor de Discord llamado “Spotify X” (especializado en distribuir una versión modificada de la aplicación de música).

Aunque la información personal de los afectados no se ve comprometida directamente, esto no significa que representen un peligro menor. Este tipo de virus suelen afectar de manera significativa el consumo de batería, el gasto de datos móviles y la estabilidad del sistema.

Imágenes: Archivo ENTER.CO

De acuerdo con Karpesrky, APKpure ha lanzado ya una nueva versión para solucionar la falla de seguridad, que de acuerdo con el reporte se generó al agregar un nuevo SDK de una fuente no verificada. La recomendación de la firma de seguridad es que actualices tu aplicación y verifiques que tengas la 3.17.19.

El troyano que contenía la versión anterior de APKpure tenía la capacidad de instalar y añadir anuncios de publicidad dentro de dispositivo. Al parecer también descargaba otras apps con contenido malicioso y obligaba al celular a mostrar pantallas de suscripción a ciertos servicios.

Te puede interesar: Los problemas de seguridad de Clubhouse

Es todavía más importante que verifiques que no tengas esta versión si el equipo cuenta con una versión anterior de Android. Algunos usuarios retrasan o detienen estas actualizaciones para poder seguir utilizando apps que no funcionan con los bloqueos de privacidad más recientes de Google. El problema está en que el malware detectado por Karspersky es capaz de instalarse en la partición del sistema, punto en el que resulta muy complicado de eliminar a través de métodos no avanzados.

Como siempre, este es el riesgo que se toma al usar tiendas como APK Pure. Muchos usuarios suelen tomarla como alternativa para probar servicios que no están disponibles en su región (por ejemplo, juegos con lanzamientos regionales). El riesgo que conlleva descargar un APK puede no ser claro para las personas que solo quieren jugar el título más reciente en su celular o probar una app recomendada. Por desgracia, a menos de que tengas muy clara la fuente del archivo que estás instalando en tu celular.

Imágenes:

El troyano SabPub para Mac, cuya aparición fue confirmada esta semana por Kaspersky, no tendría la intención de tener un alcance global. Por el contrario, según dijo la propia firma antivirus, estaría orientado hacia los computadores de activistas tibetanos con el objetivo de espiarlos.

En un post, Kaspersky afirma que “los contenidos de uno de los documentos relacionados con SabPub contienen referencias directas a la comunidad tibetana”. Además,  como reporta PC World, su versión anterior -que aprovechaba una vulnerabilidad de Microsoft Word para Mac- venía en un correo electrónico cuyo asunto mencionaba el discurso anual del Dalai Lama, líder espiritual de esta etnia que mantiene una pelea con el gobierno de China por el control del Tíbet.

Teniendo en cuenta lo que le hace SabPub a los Mac infectados, es muy probable que se trate de una herramienta de espionaje. El troyano, según PC World, “puede tomar capturas de pantalla, subir y bajar archivos y ejecutar comandos remotamente”. Además, Kaspersky dice que los datos del sistema fueron analizados manualmente “y no usando algún sistema automático, lo que se ve poco en el ‘mercado masivo’ de ‘malware'”.

Esta amenaza demuestra, dice Kaspersky, que Mac OS comenzó a ser blanco de un tipo de ataques denominados Amenaza Avanzada y Persistente (APT, por su sigla en inglés). Este tipo de amenazas, según Wikipedia, siguen un “patrón a largo plazo de intentos sofisticados de hackeo dirigidos a gobiernos, compañías y activistas políticos”.

Por otra parte, Kaspersky confirmó que a pesar de que hay varias herramientas ya disponibles para eliminar el troyano Flashback, 175.000 computadores Mac siguen contagiados.

A medida que van ganando usuarios, los computadores Apple se vuelven un blanco atractivo para los delincuentes informáticos. En el más reciente ataque, un troyano llamado Flashback infectó a 600.000 Macs en todo el mundo, según reportó Doctor Web, un fabricante de software antivirus ruso, en su sitio web.

Según la firma, el troyano se contagia luego de que el usuario visite algún sitio web y este le informe de que, supuestamente, la versión de Adobe Flash que tiene instalada en su equipo está obsoleta y debe ser actualizada. Cuando el usuario hace clic en el anuncio, “es redirigido a un sitio falso” y “un código JavaScript carga una aplicación Java que contiene el programa malicioso”, según reporta Doctor Web. El Mac infectado comienza a descargar nuevos componentes del virus sin que el usuario se dé cuenta.

En un comunicado, la fabricante de antivirus Kaspersky difundió este lunes cifras sobre la penetración del virus en el mundo. Dicen que la mitad de los Macs infectados por Flashback están en Estados Unidos, mientras que en Latinoamérica la cifra llega a 13.000 computadores afectados en casi todos los países de la región.

¿Cómo saber si su Mac está infectado?

CloudApp desarrolló una pequeña aplicación para saber si su Mac está o no infectado con el troyano. Simplemente es cuestión de descargar este DMG y ejecutar los dos archivos que están en él: ‘trojan-check’ y ‘trojan-check-2’. Si en las dos ocasiones les sale la siguiente pantalla, no hay nada de qué preocuparse:

Si sale otro mensaje, quiere decir que su Mac está infectado. La solución está en este tutorial que proporciona F-Secure. Es un poco complicado, pero vale la pena.

La única forma de prevenir que su Mac sea afectado por el troyano Flashback es instalar las más recientes actualizaciones de seguridad del sistema operativo Mac OS. Puede hacerlo desde este link o haciendo clic en el menú Apple (manzana de la esquina arriba a la izquerda), opción ‘Actualización de software’, y luego siguiendo las instrucciones.

Parece que 2011 no ha traído muy buenas noticias para la seguridad informática, pues las amenazas continúan creciendo en diversos frentes. En el más reciente informe de McAfee, la compañía asegura que el tercer trimestre de 2011 mantuvo la tendencia de crecimiento, pues el spam, las amenazas de la mensajería y el malware siguen evolucionando, y bajo las cifras es frecuente pasar por alto que también aumenta su complejidad.

Uno de los campos que se han visto más afectados por el crecimiento de las amenazas es el de los dispositivos móviles, pues según McAfee, el trimestre pasado el sistema operativo móvil Android se convirtió en la plataforma más ‘popular’ para el nuevo malware. A pesar de que Symbian sigue siendo la plataforma con la mayor cantidad de malware hasta el momento –debido en parte a que globalmente sigue teniendo más usuarios–, está claro que Android se ha convertido casi en la plataforma exclusiva de todo el malware nuevo para dispositivos móviles.

Y es que el malware para Android ha comenzado a utilizar un nuevo método para robar la información de los usuarios grabando las llamadas telefónicas. El Android/NickiSpy.A y el Android/GoldenEagle.A, por ejemplo, graban conversaciones de los usuarios y las reenvían al atacante. Como los delincuentes no pueden estar seguros de que solo con la primera llamada obtendrán la información que necesitan, esta amenaza permanece en los dispositivos durante períodos prolongados sin que pueda ser detectado.

Así mismo, el informe de McAfee afirma que los troyanos que envían mensajes de texto (SMS) de tarifas altas siguen siendo el método más atractivo para los delincuentes. Android/Wapaxy, Android/LoveTrp y Android/HippoSMS son las nuevas versiones de troyanos que envían SMS que inscriben a las víctimas en servicios de suscripción. Así mismo, este malware también elimina con habilidad todos los mensajes de confirmación de la suscripción recibidos, para que los afectados desconozcan la actividad y el atacante gane más dinero.

A pesar de que cada día sean mayores los riesgos para los usuarios de dispositivos móviles, muchos no toman en serio la seguridad en ellos, en especial los de Android, pues una encuesta realizada por Retrevo a comienzos de agosto reveló que el 39% de los usuarios de esta plataforma no toma ningún tipo de precaución para protegerse. Por ello, los usuarios móviles, y en particular los de Android, se han convertido en las víctimas favoritas de los cibercriminales.

Según el estudio de McAfee, el crecimiento del malware para dispositivos móviles durante 2011 apunta con claridad que superará al del año pasado en más de un 25% y que este año se romperán todos los records del malware en dispositivos móviles.

Cibercrimen, un gran negocio.

En el más reciente informe de seguridad de Norton, de Symantec, se reporta que el costo de todos los ataques se eleva a 338.000 millones de dólares al año. Esta cifra puede no decir mucho por sí misma, pero si se comparan esos costos que genera el cibercrimen son mayores que los del mercado negro de cocaína, marihuana y heroína combinados. “Con 388.000 millones de dólares, el cibercrimen supere más de 100 veces los gastos anuales de Unicef (3.650 millones de dólares anuales)”, dice el informe de Norton.

En su estudio, la compañía estableció que solo en 24 países del mundo, durante el último año 431 millones de adultos sufrieron de algún ataque del cibercrimen –es decir, hubo más de 1 millón de víctimas por día–.

Además, el estudio señala que  los ataques en dispositivos móviles están relacionados con el aumento del 42% de la vulnerabilidad en los sitios y aplicaciones, comparado con los datos de 2009, y que los peligros reportados relacionados a la movilidad aumentaron de 115 en 2009 a 163 en 2010. Algunas de las causas del aumento son atribuidas a la mayor presencia en redes sociales y la falta de protección por parte de los usuarios.

Notas relacionadas:

• Ataques informáticos móviles siguen creciendo y generan alarma
• Ciberataques: más frecuentes, más difíciles de detectar y ‘más móviles’
• Usuarios de Android, los menos conscientes de los riesgos de seguridad
• ¡Cuidado con los programas maliciosos en sus dispositivos móviles!

El panorama de la seguridad informática no fue muy alentador durante el tercer trimestre de 2011. Según el más reciente informe de Panda Labs, el malware continúa creciendo sin mostrar signos de debilidad, pues durante este período los delincuentes crearon más de 5 millones de nuevas amenazas.

Los troyanos siguen al frente a la hora de hacer un balance de las amenazas informáticas globales. Una de las variables del informe que resulta más preocupante es el crecimiento que reportó esta amenaza, pues según el informe alcanzó un récord: 3 de cada 4 nuevas muestras de malware creadas durante este trimestre pertenecen a esta categoría, lo que se traduce en un 76% del total de las amenazas. Con estas cifras se evidencia que la categoría resulta ser la preferida de los ciberdelincuentes para robar información bancaria, atacar equipos de cómputo, ejecutar robos de identidad y cometer otros delitos.

Latinoamérica es la región más afectada por los troyanos, y cerca del 40% de los computadores ha sido víctima de estos. Si bien China es el país con porcentaje de infección más alto –62,47%–, seguido por Taiwán, Turquía, Rusia y Polonia, la región con más países en el top 15 es la nuestra. Costa Rica está en la sexta posición, con más del 42% y le sigue Brasil en la séptima posición con un porcentaje similar. 

Con un poco menos del 40% de computadores infectados por troyanos se sitúan Argentina (posición 9), Colombia (10), Perú (11), Chile (13), Ecuador (14) y Venezuela (15).

Con estas cifras, es posible observar cómo los troyanos vuelven a ser los protagonistas, siendo los responsables de un 63,22% del total de las infecciones que se han producido durante este trimestre. 

Hace algunos meses, Sebastián Bortnik, coordinador de Awareness & Research de ESET Latinoamérica, explicó a ENTER.CO que el dominio de los gusanos y troyanos se debe a que los métodos de propagación se basan en ingeniería social o explotación de vulnerabilidades, es decir, las vías más efectivas para los atacantes, al momento de difundir masivamente sus códigos maliciosos.

“Estos, justamente, son los métodos utilizados por gusanos y troyanos que, según el top 100 del malware en la región, son las amenazas que más atentan contra los usuarios, los sistemas y, esencialmente, su información”, dijo Bortnik.

Es importante tener en cuenta que el medio más común por el que se propagan las amenazas resulta ser Internet, por lo que es necesario contar con un buen sistema de protección en la Red. En un informe de la firma de seguridad ESET Latinoamérica se evidencia que el 64,8% de las infecciones por malware ocurridas el año pasado fueron a través de Internet. Según el informe, entre los principales medios de infección se ubican en primer lugar los sitios web con el 26,4%, seguidos por el correo electrónico (19,3%), la mensajería instantánea (10,6%) y las redes sociales (5,1%).

Notas relacionadas:

• Alerta: estos son los gusanos más peligrosos de Internet.
• Facebook, OddJob y Anonymous protagonizan los peores ataques en la Red.
• Gusanos y troyanos se devoran a Internet.
• ¡Cuidado con los programas maliciosos en sus dispositivos móviles!
• El troyano que puso a sufrir a los usuarios de Windows.

Muchos usuarios de Apple suelen afirmar que las amenazas informáticas son solo preocupación del mundo Windows. Sin embargo, la realidad es otra, pues en Mac también están expuestos a los ataques de los maleantes. 

Hace algunos días, las empresas de seguridad Sophos y ESET –que lo publicó en su blog de Latinoamérica– descubrieron un nuevo malware que ataca de forma exitosa los computadores de la compañía de la manzana. Los hackers encontraron la fórmula para conseguir que un malware que inicialmente solo afectaba a sistemas basados en GNU/Linux logre atentar en contra de Mac OS X.

OSX/Tsnunami.A es la nueva variante de Linux/Tsnunami, un software malicioso que se apropia del computador y utiliza la conexión de red para realizar otros ataques. Tsunami se conecta a través del protocolo de comunicaciones Internet Relay Chat (IRC), espera instrucciones del hacker que lo controla y en el momento en que se acciona, los computadores infectados atacan sitios web enviando grandes cantidades de peticiones que pretenden hacerlos colapsar. Es decir, el clásico ataque DDoS.

Además, este nuevo troyano es capaz de descargar archivos a través de la Red, algo que le permite actualizarse y descargar software malicioso adicional en el equipo afectado. Cabe señalar que OSX/Tsunami no es un virus, sino un troyano, lo que significa que no es capaz de distribuirse masivamente como lo hacen los virus, y que para instalarse en el computador debe seguir los pasos de instalación normales de una aplicación.

Sin embargo, en el blog de ESET se afirma que Tsunami también capacidades para replicarse a sí mismo de modo de asegurar su ejecución en el equipo luego de cada reinicio, por lo que podría tratarse de un código malicioso experimental.

Así mismo, según la empresa de seguridad Sophos, es necesario que los usuarios de Mac estén atentos a este tipo de ataques, pues aunque no sean tan comunes como en Windows –plataforma para la que surgen decenas de virus en un solo día–, su existencia ya es una realidad.

A pesar de que por años los equipos de Apple estuvieron casi fuera del alcance de las amenazas informáticas, los Macs han crecido en popularidad y, de igual forma, como centro de atracción para los creadores de malware. Por esa razón, es importante que sus usuarios tengan instalado y actualizado un antivirus y adopten las prácticas preventivas que siempre se han sugerido para los usuarios de PC.

Notas relacionadas:

• Nuevo virus ataca tanto a Mac OS X como a Windows.
• 4 razones para tener un antivirus en un Mac.
• Alerta: estos son los gusanos más peligrosos de Internet.
• El troyano que puso a sufrir a los usuarios de Windows.
• Amenazas informáticas que darán dolores de cabeza en 2011.

Desarrollamos las siguiente guía de amenazas informáticas con información de la firma de seguridad ESET. El objetivo es que usted conozca todas las formas de infección posible, para así estar preparado y no caer en las manos de delincuentes en la Web.

Para los que deseen ampliar sus conocimiento en el tema, ESET cuenta con una plataforma de educación en línea gratuita que le permite a cualquier persona, según la empresa, aprovechar Internet al máximo sin preocuparse de las amenazas.

Si desea ampliar la lista con algún tipo de malware que no esté incluido, lo invitamos a hacerlo en la parte de comentarios.

• Malware. Es el acrónimo, en inglés, de las palabras ‘malicious’ y ‘software’, por lo que se conoce como software malicioso. En este grupo se encuentran los virus clásicos (aquellas formas de infección que existen desde hace años) y otras nuevas amenazas que han surgido con el tiempo. Se puede considerar como malware todo programa con algún fin dañino (hay algunos que incluso combinan diferentes características de cada amenaza).

• Spam. Es el correo electrónico no deseado o correo basura, que se envía sin ser solicitado, de manera masiva, por parte de un tercero. Aunque en un principio se utilizaba para envío de publicidad, se ha visto un creciente uso con el fin de propagar códigos maliciosos. Según estudios, entre el 80 y el 85% del correo electrónico que se le envía a una persona es correo basura. El spam llegaba a la bandeja de entrada inicialmente en mensajes en formato de texto. Sin embargo, con la creación de filtros anti-spam, el spam evolucionó a correos con imágenes o contenido Html para evadir la protección.
  

• Virus. Es un programa informático creado para producir algún daño en el computador. Posee dos características particulares: pretende actuar de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo, acciones que pueden compararse con los virus biológicos que producen enfermedades (y un daño) en las personas, actúan por sí solos y se reproducen (contagian).
  Los virus pueden infectar de dos maneras diferentes. La tradicional consiste en ‘inyectar’ una porción de código malicioso en un archivo normal. Es decir, el virus reside dentro del archivo ya existente. De esta forma, cuando el usuario ejecute el archivo, además de las acciones normales del archivo en cuestión, se ejecutan las instrucciones del virus. La segunda forma de infectar consiste en “ocupar el lugar” del archivo original y renombrar este por un nombre conocido solo por el virus. En este caso, al ejecutar el archivo primero se ejecuta el malicioso y, al finalizar las instrucciones, este llama al archivo original, ahora renombrado.

• Spyware. Los programas espía son aplicaciones que recopilan información del usuario sin su consentimiento. Su objetivo más común es obtener datos sobre los hábitos de navegación o comportamiento en la web del usuario atacado y enviarlos a entes externos. Entre la información recabada se puede encontrar qué sitios web visita, cada cuánto lo hace, cuánto tiempo permanece el usuario en el sitio, qué aplicaciones se ejecutan, qué compras se realizan o qué archivos se descargan.
  No es una amenaza que dañe al ordenador, sino que afecta el rendimiento de este y, en este caso, atenta contra la privacidad de los usuarios. Sin embargo, en algunos casos se producen pequeñas alteraciones en la configuración del sistema, especialmente en las configuraciones de Internet o en la página de inicio.

• Phishing. Consiste en el robo de información personal y financiera del usuario, a través de la falsificación de un ente de confianza. El usuario recibe un correo electrónico simulando la identidad de una organización de confianza, por lo que este, al confiar en el remitente, envía sus datos directamente al atacante. Su identificación es compleja pues prácticamente todos los componentes del mensaje enviado al usuario son idénticos a un mensaje legítimo del mismo tipo.

• Ingeniería social. Es una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema por medio de habilidades sociales. Con esto se busca que el usuario comprometa al sistema y revele información valiosa por medio de variados tipos de engaños, tretas y artimañas.
  Por ejemplo, el usuario es tentado a realizar una acción necesaria para vulnerar o dañar un sistema, cuando recibe un mensaje que lo lleva a abrir un archivo adjunto. O puede suceder que el usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos, en el caso del scam y el phishing.

• Adware. Su nombre se deriva de la combinación de las palabras ADvertisement (anuncio) y softWARE). Se trata de un programa malicioso que se instala en el computador sin que el usuario lo note, y cuya función es descargar y mostrar anuncios publicitarios en la pantalla de la víctima (se ven como ventanas emergentes del navegador o pueden aparecer incluso si el usuario no está navegando por Internet).
  El adware no produce una modificación explícita que dañe el sistema operativo, pero sí disminuye el rendimiento del equipo y de la navegación por la Red ya que utiliza recursos del procesador, la memoria y el ancho de banda. Por lo general, el adware utiliza información recopilada por algún spyware para decidir qué publicidad mostrar.

• Botnets. Es una red de equipos infectados (robot o zombi) por códigos maliciosos, los cuales son controlados por un delicuente informático el cual, de manera remota, envía órdenes a los equipos zombis haciendo uso de sus recursos. Las acciones de un equipo zombi son realizadas en su totalidad de forma transparente al usuario. Por este motivo, uno de los síntomas más importantes de un sistema infectado por un malware de este tipo es el consumo excesivo de recursos, el cual hace lento el funcionamiento del sistema y de las conexiones, e incluso puede llegar a impedir su utilización.
  Los dueños de redes botnets las utilizan para acciones como envío de spam, ataques a sitios web, alojamiento de archivos para sitios web (material pornográfico, cracks, sitios de phishing, etc.), distribución e instalación de nuevo malware y abuso de publicidad en línea.

• Gusanos. Son un sub-conjunto de malware. Su principal diferencia con los virus tradicionales es que no necesitan de un archivo anfitrión para seguir vivos, por lo que se reproducen utilizando diferentes medios como las redes locales o el correo electrónico. El archivo malicioso puede copiarse de una carpeta a otra o enviarse a toda la lista de contactos del correo electrónico, citando solo algunos ejemplos.
  La segunda diferencia es que su objetivo no es necesariamente provocar un daño al sistema, sino copiarse a la mayor cantidad de equipos como sea posible. En algunos casos, los gusanos transportan otros tipos de malware, como troyanos o rootkits; en otros, simplemente intentan agotar los recursos del sistema como memoria o ancho de banda mientras intenta distribuirse e infectar más ordenadores.

• Troyanos. Su nombre proviene de la leyenda del caballo de Troya, pues se disfraza para engañar al usuario: Los archivos que simulan ser normales e indefensos, como pueden ser juegos o programas, provocan al usuario para que los ejecute y así logran instalarse en los sistemas. Una vez ejecutados, parecen realizar tareas inofensivas pero paralelamente realizan otras tareas ocultas en el ordenador.
  Al igual que los gusanos, no siempre son malignos o dañinos. Sin embargo, a diferencia de los gusanos y los virus, estos no pueden replicarse por sí mismos. A través de un troyano un atacante pueda conectarse remotamente al equipo infectado, registrar el tipeo y robar contraseñas, y hasta robar información del sistema. Entre los disfraces más comunes que utilizan los troyanos se encuentran archivos por correo electrónico que simulan ser una imagen, un archivo de música o algún archivo similar, legitimo e inofensivo.

• Scam. Es el nombre utilizado para las estafas a través de medios tecnológicos. Los medios utilizados por el scam son similares a los que utiliza el phishing, si bien su objetivo no es obtener datos sino lucrar de forma directa a través del engaño. Las técnicas más comunes son el anuncio de una ganancia extraordinaria o las peticiones de ayuda caritativa.

• Rootkit. Son herramientas como programas, archivos, procesos, puertos o cualquier componente lógico diseñadas para mantener en forma encubierta el control de un computador. No es un software maligno en sí mismo, sino que permite ocultar las acciones malignas que se desarrollan en un equipo. Otras amenazas se incorporan y fusionan con técnicas de rootkit para disminuir su probabilidad de ser detectadas.