Informe: Malware más detectado en las redes gallegas durante el mes de diciembre de 2023

Imagen

Existen diferentes tipos de programas maliciosos, englobados bajo el nombre genérico de malware. Muchos de los elementos de malware actuales siguen patrones de comunicación propios que, una vez que son descubiertos por el personal que se dedica a ese tipo de investigación, es posible localizar entre el tráfico de Internet. Su detección delata la presencia de malware en el equipo o equipos que están accediendo a Internet a través de una dirección IP determinada. Las direcciones IP, que identifican el origen y destino de todas las comunicaciones a través de la red, se distribuyen de manera que es posible conocer cuál es su ubicación. De este modo se llega a disponer de información sobre este tráfico asociado a la existencia de malware que tiene su origen (o destino) en equipos que acceden a Internet desde Galicia.

Es oportuno destacar que puede existir malware activo que no sea detectado de este modo, por ejemplo, porque sus patrones de comunicación no son conocidos.

En este informe se muestran y caracterizan las diez principales amenazas que se han detectado en las redes gallegas durante el mes de diciembre de 2023:

1. ArrkiiSDK – 12% del total de detecciones

  • Plataforma: Android
  • Peligrosidad: No evaluada
  • Características: ArrkiiSDK es un tipo de malware que se propaga a través de aplicaciones para teléfonos móviles o tabletas que utilizan el sistema operativo Android. Al iniciar la aplicación que trae consigo el virus, se abre la puerta a que este pueda entrar en el navegador web del móvil e, incluso, llevar a páginas que estén también infectadas por otro tipo de virus.
  • Síntomas: Se muestran anuncios de manera abusiva, se instalan aplicaciones sin consentimiento del usuario. Posible ralentización del aparato.
  • Eliminación: Se puede resolver la infección desinstalando la app que lleva el malware oculto en su interior. De ser difícil determinar cuál es, se recomienda utilizar un antivirus.

 

2. Socks5Systemz- 8.4% del total de detecciones

  • Plataforma: Windows
  • Peligrosidad: No evaluada
  • Características: el malware se instala a través de otras dos familias de malware de tipo ‘loader’ (Amadey y PrivateLoader), que previamente han infectado los equipos de destino a través de diversos medios como la descarga de aplicaciones falsas, correos electrónicos de phishing, o publicidad y sitios web maliciosos.

    Una vez que se ha instalado, los equipos pueden ser utilizados como ‘proxies’, es decir, alguien se conectará a ellos y todo lo que haga en Internet quedará registrado en la dirección IP de la víctima, impidiendo que el atacante sea rastreado. Los distribuidores del malware venden el acceso a este servicio de ‘proxy’ a quienes estén interesados en ocultar sus acciones en la red. Usos típicos son realizar ataques de denegación de servicio (DDoS), descargar e instalar malware en otros dispositivos y robar información personal, como contraseñas y números de tarjetas de crédito.

  • Síntomas: no se describen, para detectarlo se debe usar software antivirus actualizado.
  • Eliminación: mediante software antivirus actualizado o programas limpiadores recomendados por el Incibe.

 

3. AMCleaner – 8.3% del total de detecciones

  • Plataforma: MacOS
  • Peligrosidad: No evaluada
  • Características: AMCleaner, también conocido como Advanced Mac Cleaner, es un PUP (programa potencialmente no deseado) para equipos Macintosh. Aunque su actividad no es realmente dañina para los equipos, puede abrir la puerta a nuevas infecciones con programas más peligrosos.
  • Síntomas: Al acceder a ciertas páginas web, AMCleaner presentará a sus visitantes varias afirmaciones falsas sobre la detección de problemas relacionados con malware en el dispositivo. Es posible que se muestre una ventana de escaneo falsa que informa de varias amenazas encontradas, intentando amedrentar al usuario para que descargue una aplicación de ‘limpieza’. Si se descarga e instala, la aplicación empezará a generar notificaciones falsas de problemas en el sistema para impulsar a los usuarios a pagar por la versión completa del programa.
  • Eliminación: Preferentemente mediante antivirus.

 

4. RootSTV – 8.2% del total de detecciones

  • Plataforma: Android (versiones antiguas)
  • Peligrosidad: Baja
  • Características:   RootSTV es un malware dirigido a televisores inteligentes (aunque puede infectar otros dispositivos Android), que normalmente ejecutan versiones antiguas de ese sistema operativo. Suele propagarse a través de aplicaciones maliciosas que supuestamente permiten a los usuarios ver canales de televisión de otras partes del mundo.
  • Síntomas: Posible ralentización de respuesta del aparato. Aparecen aplicaciones instaladas sin consentimiento del usuario.
  • Eliminación: Si el aparato lo permite, instalar un antivirus desde Google Play Store. En caso contrario, restaurar al estado inicial (factory default) y aplicar las actualizaciones más recientes que estén disponibles.

 

5. Triada – 4,3% del total de detecciones

  • Plataforma: Android
  • Peligrosidad: No evaluada
  • Características: El malware Triada se identificó en 2016 como un troyano para Android que instalaba aplicaciones adicionales en los dispositivos, para funciones de spam y engañar a las estadísticas. Posteriormente, mutó y se convirtió en una puerta trasera de Android que permitía acceder al sistema de SMS para interceptar mensajes de transacciones económicas ou buscar en el sistema datos como tarjetas de crédito o credenciales.
  • Síntomas: Triada es un malware difícil de localizar, de hecho se ha detectado en alguna ocasión en el 'firmware' de algún modelo de móvil, antes incluso de ser vendido. 
  • Eliminación: Se recomienda el uso de antivirus tanto para detección como para eliminación. También se pueden utilizar las utilidades propuestas por el Incibe.

 

6. Hiddad – 3.8% del total de detecciones

  • Plataforma: Android
  • Peligrosidad: No evaluada
  • Características: Hiddad tiene características principalmente de ‘adware’ (mostrar anuncios), pero también puede acceder a información de seguridad del usuario almacenada en el equipo. Se suele instalar a partir del instalador modificado de una aplicación legítima, y pide permisos de administración para poder ocultarse de los programas antivirus.
  • Síntomas: se muestra publicidad no solicitada de manera frecuente. Un síntoma característico es que se fuerza al usuario a otorgar cinco estrellas a la aplicación en una valoración, lo que aumenta su atractivo y apariencia de legitimidad para nuevas víctimas.
  • Eliminación: mediante antivirus actualizado.

 

7. CrossRider – 3.7% del total de detecciones

  • Plataforma: Windows/MacOS
  • Peligrosidad: Baja
  • Características: Crossrider es una plataforma de desarrollo de software que se enfoca a la adquisición de datos y la monetización para aplicaciones web, servidores de anuncios y redes.
  • Síntomas: Cambios no deseados de la página de inicio del navegador, aparece un número excesivo de anuncios, el equipo se puede ralentizar.
  • Eliminación: Se recomienda el uso de antivirus, aunque para usuarios avanzados se pueden encontrar instrucciones técnicas en distintas páginas web, tanto para Macintosh como para Windows. 

 

8. UUpay – 3.4% del total de detecciones

  • Plataforma: Android
  • Peligrosidad: no evaluada
  • Características: Uupay es un troyano que recopila datos sobre el equipo infectado, como su ubicación y contactos. También puede descargar e instalar software, y leer y enviar mensajes de texto, así como leer y manipular la información de conexión. Aunque en 2014 hubo una oleada en la que este malware venía instalado de fábrica en algunos móviles, el método de contagio habitual es la instalación de aplicaciones infectadas.
  • Síntomas: aparición de aplicaciones no instaladas por el usuario, cierre espontáneo de aplicaciones, cambios en las conexiones sin causa aparente.
  • Eliminación: Si el malware viene de fábrica, solo se puede eliminar mediante una actualización del firmware del terminal (consultar con el fabricante). En otros casos, se pueden utilizar las utilidades recomendadas por el Incibe.

 

9. Glupteba – 3.1% del total de detecciones

  • Plataforma: Windows y Macintosh
  • Peligrosidad: alta
  • Características: troyano que proporciona una puerta trasera en el equipo infectado y hace que pase a formar parte de una botnet. En las últimas versiones permite hacerse con el control de los navegadores, accediendo a la información almacenada en ellos (historial, nombres de usuario y contraseñas…), y dispone de un módulo para tratar de comprometer el router, de modo que pueda ser utilizado como proxy (ver nº 2 de esta lista).

    Un medio de infección es a través de ‘Exploit kits’, aplicaciones que se incrustan en páginas web, de modo que detectan las versiones de los navegadores que acceden a ellas y tratan de aprovechar las vulnerabilidades específicas. Cabe recomendar que tanto el sistema operativo como las aplicaciones (incluyendo el navegador web) se mantengan actualizados.

  • Síntomas: sin descripción.
  • Eliminación: mediante las utilidades recomendadas por el Incibe para Windows y para Macintosh.

 

10. Crackonosh – 3% del total de detecciones

  • Plataforma: Windows
  • Peligrosidad: No evaluada.
  • Características: Crackonosh es un troyano con capacidad de minar criptomonedas. Además, permite el acceso remoto a los atacantes, y el equipo pasa a formar parte de una botnet. Se suele encontrar en instaladores de software pirateado: al instalar ese software se instala también el malware, y también se instala al abrir adjuntos de correos electrónicos infectados, anuncios maliciosos en línea o mediante técnicas de ingeniería social que inciten a ejecutar un archivo.
  • Síntomas: desactivación del software antivirus del equipo. Durante el minado de criptomoneda utiliza los recursos del equipo infectado, por lo que se puede detectar lentitud y sobrecarga del procesador.
  • Eliminación: mediante un antivirus actualizado o las utilidades recomendadas por el Incibe.

 

*Los porcentajes se refieren al número de direcciones IP en las que se detecta cada tipo de malware en relación al número total de direcciones IP en las que se detecta algún malware (Fuente: BitSight).

**Para la evaluación de la peligrosidad se toman como referencia diversas fuentes de acceso público.