Beruflich Dokumente
Kultur Dokumente
ESET Latinoamrica: Av. Del Libertador 6250, 6to. Piso Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com
Autor:
Laboratorio de ESET Latinoamrica
ndice
Introduccin ................................................... 3 Malware en dispositivos mviles....................... 4
Impacto masivo ................................................................ 7 Android: el nuevo XP?....................................................... 7
Fecha:
17 de noviembre del 2011
Introduccin
El informe de tendencias de ESET Latinoamrica se ha convertido en una costumbre para el equipo del Laboratorio de Anlisis de Malware, que una vez ms, finalizando el 2011, ha analizado lo ocurrido durante el ao. Este documento presenta las tendencias para el prximo ao, tanto en materia de cdigos maliciosos, como as tambin, en general para otro tipo de ataques informticos y el mundo del cibercrimen. Las costumbres de los usuarios en cuanto al uso de tecnologas, siempre han influido y determinado el desarrollo de malware y, esta tendencia, seguir estando vigente. Teniendo en cuenta este punto, el marcado crecimiento en la utilizacin de dispositivos mviles ser determinante el prximo ao, dado que estas plataformas ya no son un espacio de entrada prohibida para el malware debido a que los desarrolladores de cdigos maliciosos han trabajado en los ltimos aos para poder infectar este tipo de dispositivos. En el presente documento describiremos cmo la migracin de las amenazas para equipos de escritorio al mundo mvil est a la orden el da. En ese contexto, las amenazas para dispositivos mviles, tanto en materia de nuevos cdigos maliciosos como de estafas en Internet, entre otras; sern lo ms relevante para el prximo ao, adems de la aparicin de nuevos tipos de ataques, como as tambin de nuevas variantes de aquellas existentes. Asimismo, la evolucin de las tecnologas de seguridad en las plataformas existentes dar lugar a ms y nuevas amenazas tecnolgicamente complejas. Sin embargo, no dejarn de existir cdigos maliciosos en el otro extremo, cuya sencillez no es proporcional al alto impacto que suelen tener en los usuarios. Cules sern entonces las principales tendencias para el 2012? En las prximas secciones, esta pregunta se contestar para que el usuario est al tanto de las prximas tendencias y pueda conocer de qu manera optimizar los mecanismos de proteccin tanto en entornos hogareos como corporativos.
Esta tendencia fue acompaada por el desarrollo de cdigos maliciosos tal como puede verse en el siguiente grfico. En el mismo se detallan las principales variantes de malware que fueron llegando a los dispositivos Android durante los ltimos dos aos, cuando apareci FakePlayer, el primer cdigo maliciosos para esta plataforma (el grfico puede observarse en mayor tamao al final del documento, junto a sus referencias):
Es interesante observar la cantidad de variantes de malware y los aos tenidos en cuenta para el anlisis. De los 41 cdigos maliciosos analizados, tan solo 5 aparecieron en el 2010, perteneciendo estos solo a tres familias distintas de malware. Esta tendencia continu durante el primer semestre del 2011 ya que aparecieron tan solo 7 nuevas variantes, lo cual evidencia una importante concentracin de amenazas para esta plataforma en los ltimos seis meses de 2011, destacando las amenazas para Android como principal tendencia para el ao 2012. Continuando con el anlisis de los principales cdigos maliciosos para Android, resulta interesante prestar atencin al modo de propagacin de los mismos ya que 12 de las variantes identificadas estuvieron disponibles para su descarga desde el Android Market. En este aspecto, que el 30% de las amenazas puedan ser descargadas desde el repositorio oficial del fabricante, indica la importancia que tendr esta plataforma en el futuro y la necesidad de mayores esfuerzos por parte de los fabricantes para minimizar este tipo de incidentes. De todos modos
se ha identificado que la mayora de las amenazas fueron descargadas desde repositorios no oficiales (7 de cada 10) lo que indica que an es muy importante que los usuarios estn concientizados sobre la importancia de descargar software desde sitios web oficiales. Otros datos a destacar es que 15 de las 41 aplicaciones analizadas fueron identificadas como troyanos SMS, una de las principales amenazas para dispositivos mviles, y que el 60% de los cdigos maliciosos analizados, posean alguna caracterstica del tipo botnet, es decir, control remoto del dispositivo que al ser infectado se convierte en un zombi. Finalmente, tomando justamente las redes botnet, tambin es posible identificar al malware para plataformas mviles como tendencia. Durante el 2011 se pudo observar una marcada aparicioon de las variantes de las principales botnet para dispositivos mviles, aos despus de que ya estn infectando sistemas de escritorio. Por ejemplo, Zeus apareci en el ao 2007, y tres aos despus surgi su versin para mvil. Para 2011, ya tena variantes para cuatro importantes plataformas mviles. En la siguiente tabla se observan todas las fechas de descubrimiento de las variantes de Zeus y SpyEye, tanto en sus versiones de escritorio como mviles (ZITMO y SPYTMO respectivamente):
Claramente distintas variantes de malware han estado migrando durante el 2011 a versiones mviles. La tendencia es que esto contine, y una vez aparecidos los primeros casos para un tipo de cdigo malicioso especfico, el siguiente paso lgico sera la creacin de variantes que pueden comenzar a masificarse lentamente.
Como ejemplo ms reciente, a finales de octubre, tambin los cdigos maliciosos del tipo rogue (falsas aplicaciones de seguridad) aparecieron para Android, tal como lo report el Blog de Laboratorio de ESET Latinoamrica.
Impacto masivo
Otro componente que ubica a los cdigos maliciosos para dispositivos mviles como principal tendencia para el prximo ao, es el crecimiento del impacto causado por malware. Es aqu donde DroidDream resulta el caso ms ejemplificador, ya que esta amenaza tuvo ms de 250,000 descargas desde el Android Market (que a julio de 2011 contena el mismo nmero de aplicaciones disponibles). El caso tuvo tanto impacto que Google decidi desinstalar remotamente la aplicacin de todos los sistemas infectados por dicho cdigo malicioso. Todos los usuarios cuyo dispositivo mvil haba sido comprometido fueron notificados a travs de un correo electrnico. Entre los principales objetivos de DroidDream se encuentra el robo de informacin que permite identificar de manera unvoca al dispositivo como as tambin la capacidad de instalar otros cdigos maliciosos. Entre las particularidades de este malware hay que remarcar que para evitar ser identificado por el usuario, se ejecutaba durante la noche, corroborando la hora, cualidad que le dio su nombre. De esta forma, DroidDream quedar en la historia como el primer cdigo malicioso para dispositivos mviles de impacto masivo, lo cual certifica y abre lugar a la concreta posibilidad de que se observen ms incidentes de este tipo el prximo ao.
posicionarn a Android como la prioridad para crear malware para cualquier desarrollador de cdigos maliciosos, y all estar puesto el foco de cdigos maliciosos para estas plataformas durante el 2012.
10
afectada por la exposicin y utilizacin de sus certificados con fines maliciosos, lo que llev a la empresa a decretar la quiebra. Finalmente, el legado de Stuxnet seguir presente. Tal como pronostic el Laboratorio de ESET en su informe Tedencias 2011: botnets y malware dinmico, durante el presente ao no se observ un crecimiento masivo de cdigos maliciosos que ataquen sistemas SCADA, aunque la tendencia seguir siendo creciente a paso lento, y es probable que el prximo ao puedan aparecer algunas amenazas de este tipo.
La desaparicin de Conficker
Otra de las consecuencias de la migracin como sistema operativo lder de Windows XP a Windows 7, es la desaparicin de Conficker. Este gusano informtico apareci en noviembre de 2009 y desde aquel entonces se convirti en el gusano ms importante de los ltimos aos, ubicndose mes a mes entre las tres amenazas ms detectadas durante 3 aos, segn los reportes mensuales de amenazas de ESET Latinoamrica. No obstante, la tendencia de deteccin de este cdigo malicioso es decreciente, tal como presentan las estadsticas de ThreatSense.Net, el sistema de alerta temprana de ESET:
11
Como se puede observar, los ndices de deteccin del gusano estn disminuyendo mes a mes, habiendo promediado un 3,90% de deteccin en el 2011 (hasta octubre inclusive), una disminucin muy notoria respecto al ao anterior, en el que el promedio era del 7,83%. Asimismo, durante el 2010 Conficker se ubic como el cdigo malicioso ms detectado segn ESET durante 7 de los 12 de meses del ao; mientras que en el 2011 solo logr esa posicin en el mes de enero (con el 5,38% de las detecciones), valores que disminuyeron notoriamente a octubre del presente ao (tercero, con el 2,63%; el valor ms bajo desde su lanzamiento). A qu se debe esta disminucin en las cifras obtenidos sobre este gusano? Es necesario mencionar dos factores importantes que impactan sobre las tasas de deteccin de este malware. En primer lugar, la declinacin natural en el ciclo de vida de cualquier cdigo malicioso (que de hecho, en el caso de Conficker fue extremadamente extenso), generado por los usuarios que instalaron los parches de seguridad para cortar los circuitos de propagacin, o usuarios que actualizaron sus soluciones antivirus para mejorar la deteccin. Sin embargo en el caso de Conficker, las variantes que se propagaban por USB fueron aquellas que continuaron generando un alto impacto en los usuarios. No obstante, durante el 2011 ocurrieron algunos hechos significativos: por un lado, el crecimiento de Windows 7, plataforma en la cual Conficker no puede propagarse automticamente a travs de dispositivos USB. Por otro lado, en febrero del 2011 Microsoft lanz una actualizacin para deshabilitar la funcionalidad de Autorun de dispositivos USB en los equipos con el sistema operativo Windows XP (parche que ya estaba disponible pero de forma optativa para los usuarios, desde el ao anterior). De esta forma, cada vez ms usuarios tienen bloqueados los circuitos de propagacin del gusano Conficker. Por lo tanto, podemos esperar que para el 2012 los niveles sigan disminuyendo y esta amenaza, (que afect a gran cantidad de usuarios durante tantos aos y bati tantos records en cuanto a impacto causado, velocidades de propagacin, y otros) ir desapareciendo lentamente de la primera plana del escenario de malware mundial.
Botnet takedowns
Durante el 2011 se observ, tal como pronostic un ao atrs ESET Latinoamrica, cmo empresas de seguridad, compaas proveedoras de servicios de Internet y organismos pblicos unieron sus esfuerzos para dar de baja redes de equipos zombis, tambin conocidas como botnets. Este procedimiento conocido como takedown, consiste en cortar algn circuito de funcionamiento de la red y, de ser posible, encontrar a los responsables de la administracin de la misma. Durante el 2011 se hicieron pblicas las bajas de importantes redes como Kelihos (desmantelada por Microsoft en septiembre), Coreflood y Koobface, entre otras. Es interesante
12
el caso de Bredolab, ya que la misma fue desmantelada con el total apoyo del gobierno holands, factor clave en el xito de esta operacin. Teniendo en cuenta el importante crecimiento de las redes botnet durante el 2011 (segn ShadowServer, hay casi seis mil redes activas a octubre de 2011), estos esfuerzos debern multiplicarse, no solo para evitar que redes de grandes magnitud operen, sino tambin para que aquellas cuyo impacto no es tan meditico pero que logran infectar miles de equipos, tambin puedan ser dadas de baja. Consecuentemente, durante el prximo ao los takedown de botnets seguirn siendo frecuentes, muchos de ellos con exposicin pblica cuando la magnitud sea la suficiente.
13
pretenden que las empresas de antivirus no puedan generar estas firmas para proteger el equipo. Cada vez es ms frecuente encontrarse con estas amenazas, que seguirn creciendo el prximo ao, y que estn especficamente focalizadas en el robo de informacin. Este tipo de amenazas, sencillas desde el punto de vista tecnolgico, seguirn creciendo en cuanto a su relevancia en el escenario del malware mundial y latinoamericano.
Amenazas de Latinoamrica
Finalmente, qu ocurrir con los ciber delincuentes en Latinoamrica? Como ya es sabido, desde hace muchos aos, las amenazas informticas no solo llegan a la regin desde otros pases, sino que tambin existen desarrolladores de malware locales. Estos aprovechan los hechos ms importantes que acontecen en Amrica Latina, para utilizar tcnicas de Ingeniera Social e infectar a miles de usuarios. En ese contexto, las principales amenazas generadas en la regin, que se destacarn son las siguientes: Hacktivismo: la utilizacin de ataques informticos con fines ideolgicos est creciendo de forma importante en la regin. A partir del caso Wikileaks, y de la enorme popularidad de las acciones de Anonymous, muchas personas en la regin se han identificado con estos movimientos y muchas organizaciones estn comenzando a sufrir este tipo de ataques informticos, especialmente organismos gubernamentales o personas asociadas a la poltica. Durante el 2011, muchos gobiernos de la regin se vieron afectados por estos ataques, entre ellos Argentina, Chile, Colombia, Guatemala y El Salvador. Privacidad y redes sociales: Latinoamrica es una regin con un alto uso de redes sociales. De los 200 millones de internautas que hay en la regin, 162 millones tienen cuenta en Facebook. Por lo tanto la propagacin de troyanos por estos medios (a travs de Ingeniera Social), y especialmente el crecimiento de amenazas de fraude como el clickjacking (el negocio de los clics para los cibercriminales), el scam o las falsas aplicaciones para el robo de informacin, sern notorias durante 2012. Troyanos bancarios y phishing. Dentro del malware, los troyanos bancarios son sin lugar a duda la variante ms emblemtica desarrollada en Latinoamrica. El phishing, como amenaza relacionada, tambin se expandi de forma masiva durante el ltimo ao y. dada su efectividad (estudios de ESET confirman que un delincuente en la regin puede obtener datos de siete tarjetas de crdito por hora con un ataque activo), seguirn funcionando el prximo ao. El seguimiento que realiza el equipo de Laboratorio de ESET Latinoamrica a atacantes brasileos que propagan troyanos
14
bancarios, indica que durante el 2011 lanzaron ms de 60 campaas de propagacin y que en esos meses obtuvieron al menos 200 mil cuentas de correo para utilizar como spam con el fin de continuar el circuito de infeccin. En resumen, los delincuentes latinoamericanos an estn centrados en las amenazas que, aunque son algo antiguas desde el punto de vista tecnolgico, siguen siendo extremadamente eficientes para infectar a los usuarios de la regin.
15
16
Asimismo, se seguir observando un crecimiento en cuanto a la masividad de amenazas tecnolgicamente sencillas. Por lo que, durante el 2012, los casos ms importantes de malware estarn ubicados seguramente en alguno de los extremos desde el punto de vista de la complejidad tcnica de las amenazas:
Esta polarizacin en cuanto a la complejidad tcnica de la amenazas implica un mayor desafo para el usuario final dado que: Las amenazas ms complejas aparecen con menor frecuencia pero su impacto puede ser muy alto. Las amenazas ms sencillas son de fcil acceso para los desarrolladores malintencionados y suelen ser tener un nivel mayor de masividad. Este segundo punto es de mayor importancia: ya no habr botnet, o rogue en particular que representen una alta tasa de infeccin, o al menos sern cada vez ms extraos. En cambio, presenciaremos la masificacin de redes botnet en todo el mundo y de falsos antivirus que infectan a los usuarios. Sin embargo, esto estar complementado por una diversificacin que implica que cada uno de ellos se propagar en valores bajos que son suficientes para generar rentabilidad a los criminales. Por lo tanto, este contexto representar un riesgo para el usuario ya que la ausencia de amenazas que se destaquen puede generar una falsa sensacin de seguridad cuando en verdad, los valores indican que los usuarios se siguen infectando. En 2011 el 80% de los usuarios
17
encuestados por ESET Latinoamrica indic haber sufrido una infeccin, valor apenas menor que en el 2010 (84%). De esta forma, podemos concluir que la facilidad con la que los atacantes pueden multiplicar las variantes de las amenazas, representar un nuevo desafo para el 2012: estar protegidos de forma holstica ante todo tipo de cdigos maliciosos, independientemente de su complejidad tcnica.