S21sec, ha elaborado su informe semestral, Threat Landscape Report, que analiza la evolución del cibercrimen durante el primer semestre de 2022.Se ha mantenido en estos meses el foco en las amenazas a dispositivos móviles a través de campañas en las que el ciberespionaje se ha convertido en uno de los principales objetivos de los hackers, resaltando el caso Pegasus en el mes de mayo.
S21sec ha publicado su informe semestral, Threat Landscape Report, que ofrece una panorámica de las amenazas más relevantes del primer semestre de 2022. Entre los principales hallazgos, los dispositivos móviles se han convertido en uno de los principales objetivos de los cibercriminales durante los primeros seis meses del año, registrándose un aumento significativo de la actividad del malware móvil.
De las 7.930 millones de personas que vivimos en la Tierra, un 67% de la población mundial usa un dispositivo móvil hoy en día, según se deduce del Digital Global Statshot Report publicado en abril de 2022. Es decir, más de 5.320 millones de personas en todo el mundo disponen de un dispositivo móvil, almacenando cada vez más información sensible tanto en la memoria del dispositivo como en la nube -desde fotografías personales hasta datos bancarios, contraseñas e información de empresas. Por ello, los ciberdelincuentes han encontrado un nuevo objetivo para dirigir sus ataques, pudiendo acceder al contenido almacenado en los smartphones y comprometer cualquier información relativa al usuario.
“Como viene ocurriendo en los últimos años y en los primeros seis meses de 2022, se ha producido un aumento de la actividad del malware móvil. Los ciberdelincuentes han añadido los teléfonos y tabletas inteligentes a su lista de objetivos principales, lo que ha provocado un aumento de las amenazas, dirigidas específicamente contra este tipo de dispositivos”, destaca Sonia Fernández, responsable del equipo de Inteligencia de S21sec.
Según recoge S21sec en su informe semestral, hay cuatro vías para distribuir el malware dirigido a los dispositivos móviles:
Ataques de smishing: los cibercriminales suplantan la identidad de las aplicaciones, entidades bancarias o empresas de mensajería. Estos mensajes normalmente incluyen una página fraudulenta en la que se pide al usuario información personal para el robo de credenciales o una URL en la que se dirige a una página donde se le descargará un malware.
Utilización de Pop-Ups: son anuncios en páginas web en los que se insta a los usuarios a descargar una aplicación. Se han observado muchos casos en los cuales los cibercriminales instan a sus víctimas a instalar falsas actualizaciones de software comunes.
Mercados no oficiales de aplicaciones: es uno de los principales lugares de distribución de malware. En estos mercados aparecen numerosas aplicaciones con apariencia legítima o copia de la aplicación que impide al usuario darse cuenta de que es fake, añadiendo a la misma un código malicioso.
Mercados oficiales como Google Play o Apple Store: Aunque cuentan con medidas de seguridad internas para evitar que existan aplicaciones con códigos maliciosos para descarga, se han encontrado casos en los que una aplicación con apariencia legítima se trata de una aplicación que contiene algún tipo de malware.
Ataques de malware móvil más relevantes
El spyware Pegasus, desarrollado por la empresa de seguridad israelí NSO Group, cuyo objetivo es el espionaje, ha tomado gran relevancia en los últimos tres años y en especial en este semestre por su uso contra miembros de gobiernos estatales y autonómicos, así como contra periodistas, y personas de relevancia.
Uno de los casos más sonados en España en el mes de mayo ha sido el de cómo este malware infectó los teléfonos móviles del presidente del Gobierno, Pedro Sánchez, y la ministra de Defensa, Margarita Robles, entre otras autoridades.
“Este software aprovecha la vulnerabilidad del teléfono, envía un SMS, y a través de ese SMS aunque no hagas nada, te infectan a través del método de «clic cero». No dejan rastro en el teléfono, y son súper difíciles de detectar”, señala Sonia Fernández. “Lo más importante para evitar que te instalen este tipo de software espías, es que debes tener control sobre tu dispositivo móvil ya que te lo pueden instalar en cuestión de segundos. Es muy importante también tener actualizado el software del terminal y no hacer click en direcciones, correos o mensajes que no conozcas”, destaca.
Además de Pegasus, otro de los ataques más relevantes son el Xenomorph y el Flubot. El Xenomorph es un troyano bancario de Android descubierto por primera vez en febrero de 2022 y que se disfraza de aplicación legítima. Tal y como ocurre con otros troyanos bancarios para móviles Android, cuando el usuario abre su aplicación bancaria, este malware realizará un ataque de overlay, superponiendo una página falsa que suplanta la página del acceso del banco con el objetivo de que sus víctimas introduzcan sus claves de inicio de sesión y robarle los datos y el dinero.
El ataque Flubot se descubrió en diciembre de 2020 y ha tenido una gran expansión en los dos últimos años. Se distribuye a través de mensajes de texto SMS, llamadas perdidas o alertas suplantando a diferentes entidades con el objetivo de difundir enlaces maliciosos donde se descarga el malware como falsos programas de rastreo de envíos de paquetería u otros servicios. Como estos mensajes, llamadas o alertas provienen de una fuente conocida, es más probable que el destinatario o víctima caiga en la trampa y se infecte su dispositivo móvil.
Cabe destacar que en mayo la infraestructura detrás de Flubot fue desactivada por la policía holandesa y a principios del mes de junio la Europol anunció la eliminación total del malware para Android Flubot. Las autoridades europeas detallaron cómo la operación policial internacional habría involucrado a once países con el objetivo de desmantelar este malware.
Descárgate el informe Threat Landscape Report aquí.
