Informe: Malware más detectado en las redes gallegas durante el mes de octubre de 2023

Imagen

Hace tiempo que la creación y distribución de malware ha dejado de ser una actividad de mero sabotaje para obtener notoriedad. En la actualidad, aunque existen otros objetivos como los vinculados al activismo (hacktivismo) o incluso a la ‘ciberguerra’, el malware se crea y distribuye principalmente con la intención de obtener provecho económico.

De este modo, resulta habitual que un equipo infectado con malware establezca algún tipo de comunicación con los responsables de la infección de modo que facilite ese objetivo de obtener dinero de ella.

Cada elemento de malware establece esas comunicaciones de una manera que lo caracteriza ante los equipos de investigación; analizando cierto tipo de tráfico en Internet es posible determinar dónde hay equipos infectados con alguno de los programas maliciosos que se van conociendo, estudiando y clasificando. De este modo, y utilizando las características de clasificación geográfica de las direcciones IP, se llega a disponer de información sobre este tráfico asociado a la existencia de malware que tiene su origen (o destino) en equipos que acceden a Internet desde Galicia.

En este informe se muestran y caracterizan las diez principales amenazas que se han detectado en las redes gallegas durante el mes de octubre de 2023:

1. ArrkiiSDK – 10.4% del total de detecciones

  • Plataforma: Android
  • Peligrosidad: No evaluada
  • Características: ArrkiiSDK es un tipo de malware que se propaga a través de aplicaciones para teléfonos móviles o tabletas que utilizan el sistema operativo Android. Al iniciar la aplicación que trae consigo el virus, se abre la puerta a que este pueda entrar en el navegador web del móvil e, incluso, llevar a páginas que estén también infectadas por otro tipo de virus.
  • Síntomas: Se muestran anuncios de manera abusiva, se instalan aplicaciones sin consentimiento del usuario. Posible ralentización del aparato.
  • Eliminación: Se puede resolver la infección desinstalando la app que lleva el malware oculto en su interior. De ser difícil determinar cuál es, se recomienda utilizar un antivirus. cuál es, se recomienda utilizar un antivirus.

 

2. RootSTV – 9.7% del total de detecciones

  • Plataforma: Android (versiones antiguas)
  • Peligrosidad: Baja
  • Características:   RootSTV es un malware dirigido a televisores inteligentes (aunque puede infectar otros dispositivos Android), que normalmente ejecutan versiones antiguas de ese sistema operativo. Suele propagarse a través de aplicaciones maliciosas que supuestamente permiten a los usuarios ver canales de televisión de otras partes del mundo.
  • Síntomas: Posible ralentización de respuesta del aparato. Aparecen aplicaciones instaladas sin consentimiento del usuario.
  • Eliminación: Si el aparato lo permite, instalar un antivirus desde Google Play Store. En caso contrario, restaurar al estado inicial (factory default) y aplicar las actualizaciones más recientes que estén disponibles.

 

3. AMCleaner – 8.3% del total de detecciones

  • Plataforma: MacOS
  • Peligrosidad: No evaluada
  • Características: AMCleaner, también conocido como Advanced Mac Cleaner, es un PUP (programa potencialmente no deseado) para equipos Macintosh. Aunque su actividad no es realmente dañina para los equipos, puede abrir la puerta a nuevas infecciones con programas más peligrosos.
  • Síntomas: Al acceder a ciertas páginas web, AMCleaner presentará a sus visitantes varias afirmaciones falsas sobre la detección de problemas relacionados con malware en el dispositivo. Es posible que se muestre una ventana de escaneo falsa que informa de varias amenazas encontradas, intentando amedrentar al usuario para que descargue una aplicación de ‘limpieza’. Si se descarga e instala, la aplicación empezará a generar notificaciones falsas de problemas en el sistema para impulsar a los usuarios a pagar por la versión completa del programa.
  • Eliminación: Preferentemente mediante antivirus.

 

4. Mirai – 8.1% del total de detecciones

  • Plataforma: Linux (IoT)
  • Peligrosidad: Baja
  • Características: Mirai es un malware que convierte los dispositivos en red que ejecutan Linux en bots controlados de forma remota que se pueden usar como parte de una botnet en ataques de red a gran escala. Se dirige principalmente a dispositivos de consumo en línea, como cámaras IP, enrutadores domésticos o incluso unidades de almacenamiento NAS. Una vez que se detecta el dispositivo, el malware intenta acceder utilizando su contraseña por defecto.
  • Síntomas: Por la propia naturaleza de muchos dispositivos IoT, resulta difícil detectar estas infecciones. Si se dispone de dispositivos que mantienen su contraseña de administración por defecto, porque no se pueda cambiar o porque se haya dejado por descuido, se debe revisar su configuración, pero requiere de conocimientos especializados detectar los cambios
  • Eliminación: En la mayor parte de los casos, la mejor opción será volver a la configuración de fábrica, cambiar la contraseña de administración (si se puede) y volver a aplicar la configuración deseada.

 

5. CrossRider – 4.3% del total de detecciones

  • Plataforma: Windows/MacOS
  • Peligrosidad: Baja
  • Características: Crossrider es una plataforma de desarrollo de software que se enfoca a la adquisición de datos y la monetización para aplicaciones web, servidores de anuncios y redes.
  • Síntomas: Cambios no deseados de la página de inicio del navegador, aparece un número excesivo de anuncios, el equipo se puede ralentizar.
  • Eliminación: Se recomienda el uso de antivirus, aunque para usuarios avanzados se pueden encontrar instrucciones técnicas en distintas páginas web, tanto para Macintosh como para Windows.

 

6. Sality – 3,9% del total de detecciones

  • Plataforma: Windows
  • Peligrosidad: Medio-bajo
  • Características: Sality es un conjunto antiguo de diversos programas maliciosos. Aunque tiene su origen en 2003, sigue manteniendo su relevancia porque sus desarrolladores continúan evolucionando este malware y añaden nuevas funciones. Utilizan diversas vías de infección: campañas de phishing que inducen a descargar y ejecutar su instalador, infección a través de carpetas compartidas o unidades extraíbles... Una vez instalado, sirve de vector para distintas acciones maliciosas: robar información, abrir ‘puertas traseras’ para instalar más malware, ocultarse como ‘rootkit’, el equipo puede pasar a formar parte de una red botnet, etc.
  • Síntomas: Para cumplir con sus objetivos, este malware intenta pasar desapercibido tanto tiempo como sea posible. Es recomendable disponer de un antivirus actualizado que lo pueda detectar.
  • Eliminación: Se recomienda el uso de antivirus, aunque existen herramientas gratuitas online que lo detectan y eliminan.

 

7. Triada – 3.9% del total de detecciones

  • Plataforma: Android
  • Peligrosidad: No evaluada
  • Características: El malware Triada se identificó en 2016 como un troyano para Android que instalaba aplicaciones adicionales en los dispositivos, para funciones de spam y engañar a las estadísticas. Posteriormente, mutó y se convirtió en una puerta trasera de Android que permitía acceder al sistema de SMS para interceptar mensajes de transacciones económicas.
  • Síntomas: Triada es un malware difícil de localizar, de hecho se ha detectado en alguna ocasión en el 'firmware' de algún modelo de móvil, antes incluso de ser vendido. Es recomendable disponer de un antivirus actualizado que lo detecte y elimine.
  • Eliminación: Se recomienda el uso de antivirus.

 

8. Conficker – 3.4% del total de detecciones

  • Plataforma: Windows
  • Peligrosidad: Baja (alta en lo referente a exposición de información).
  • Características: Conficker es un gusano informático que se comenzó a propagar en el mes de noviembre del año 2008. Atacaba una vulnerabilidad de los sistemas operativos de Microsoft de la época y lograba tomar el control del dispositivo infectado para convertirlo en parte de una botnet. Entre las instrucciones que puede recibir un equipo infectado están descargar otros programas maliciosos, como spywares y keyloggers, para rastrear las actividades del usuario y sus contraseñas.
  • Síntomas:En caso de disponer de un ordenador con un sistema operativo anterior a Windows 7, (Vista o XP y en servidores 2008 o anterior), el equipo es susceptible de ser infectado. El malware es capaz de desactivar las actualizaciones automáticas y software antivirus antiguo. 
  • Eliminación: Para el caso de Conficker, dada la antigüedad de la amenaza y que los equipos vulnerables son obsoletos, la recomendación, sin duda, es la actualización a un sistema operativo con soporte técnico en vigor. Utilizar un equipo tan inseguro y que ya se demuestra que ha sido comprometido es un riesgo constante. En cualquier caso, existen en Internet herramientas específicas para su eliminación.

 

9. DarkGate – 3.2% del total de detecciones 

  • Plataforma: Windows
  • Peligrosidad: Baja
  • Características: DarkGate es un malware que permite la descarga y ejecución de otros malware en los equipos infectados. Por sí mismo tiene las siguientes capacidades: Recopilación de información, robo de credenciales, criptominería, herramienta de acceso remoto: DarkGate puede iniciar una conexión de red virtual y recibir y ejecutar comandos.
  • Síntomas: Para detectar el malwareDarkGate se deben buscar signos de actividad sospechosa, como rendimiento lento del sistema, programas que se bloquean con frecuencia, o la presencia de aplicaciones desconocidas.
  • Eliminación: DarkGate no es sencillo de eliminar de manera manual. Se recomienda el uso de antivirus actualizado.

 

10. SuperOptimizer – 3.2% del total de detecciones

  • Plataforma: Windows
  • Peligrosidad: Baja
  • Características: El malware SuperOptimizer es un programa que se presenta como una herramienta para mejorar el rendimiento del ordenador. Tras un supuesto escaneo inicial, avisa de numerosos problemas que, informa, podrán ser corregidos adquiriendo la versión de pago. Se han reportado capacidades de modificación del registro para asegurar la persistencia y de espionaje de distintas fuentes de información en los equipos infectados.
  • Síntomas: Avisos alarmistas de diferentes problemas en el equipo que se solucionarían adquiriendo la versión de pago.
  • Eliminación: Existen métodos manuales de eliminación, pero requieren varias operaciones. Para un usuario medio, se recomienda el uso de antivirus.

     

*Los porcentajes se refieren al número de direcciones IP en las que se detecta cada tipo de malware en relación al número total de direcciones IP en las que se detecta algún malware (Fuente: BitSight).

**Para la evaluación de la peligrosidad se toman como referencia diversas fuentes de acceso público.