Informe: Malware máis detectado nas redes galegas durante o mes de decembro de 2023

Malware más detectado en las redes gallegas durante el mes de diciembre de 2023
Empresas
Cidadanía
Administración Pública
Malware

Existen diferentes tipos de programas maliciosos, englobados baixo o nome xenérico de malware. Moitos dos elementos de malware actuais seguen patróns de comunicación propios que, unha vez que son descubertos polo persoal que se dedica a ese tipo de investigación, é posible localizar entre o tráfico da internet. A súa detección delata a presenza de malware no equipo ou equipos que están a acceder a Internet a través dunha dirección IP determinada. As direccións IP, que identifican a orixe e destino de todas as comunicacións a través da rede, distribúense de maneira que é posible coñecer cal é a súa localización. Deste xeito chégase a dispoñer de información sobre este tráfico asociado á existencia de malware que ten a súa orixe (ou destino) en equipos que acceden a Internet desde Galicia.

É oportuno destacar que pode existir malware activo que non sexa detectado deste xeito, por exemplo porque os seus patróns de comunicación non son coñecidos.

Neste informe móstranse e caracterizan as dez principais ameazas que se detectaron nas redes galegas durante o mes de decembro de 2023:

1. ArrkiiSDK – 12% do total de deteccións

  • Plataforma: Android
  • Perigo: Non avaliado
  • Características: ArrkiiSDK é un tipo de malware que se propaga a través de aplicacións para teléfonos móbiles ou tabletas que utilizan o sistema operativo Android. Ao iniciar a aplicación que trae consigo o virus, ábrese a porta a que este poida entrar na navegador web do móbil e, mesmo, levar a páxinas que estean tamén infectadas por outro tipo de virus.
  • Síntomas: Móstranse anuncios de maneira abusiva, instálanse aplicacións sen consentimento do usuario. Posible retardación do aparello.
  • Eliminación: Pódese resolver a infección desinstalando a app que leva o malware oculto no seu interior. De ser difícil determinar cal é, recoméndase utilizar un antivirus.

 

2. Socks5Systemz- 8.4% do total de deteccións

  • Plataforma: Windows
  • Perigo: Non avaliado

  • Características: o malware instálase a través doutras dúas familias de malware de tipo ‘loader’ (Amadey e PrivateLoader), que previamente infectaron os equipos de destino a través de diversos medios como a descarga de aplicacións falsas, correos electrónicos de phishing, ou publicidade e sitios web maliciosos.

    Unha vez que se instalou, os equipos poden ser utilizados como ‘proxies’, é dicir, alguén se conectará a eles e todo o que faga na internet quedará rexistrado na dirección IP da vítima, impedindo que o atacante sexa rastrexado. Os distribuidores do malware venden o acceso a este servizo de ‘proxy’ a quen estea interesados en ocultar as súas accións na rede. Usos típicos son realizar ataques de denegación de servizo (DDoS), descargar e instalar malware noutros dispositivos e roubar información persoal, como contrasinais e números de tarxetas de crédito.

  • Síntomas: non se describen, para detectalo débese usar software antivirus actualizado.
  • Eliminación: mediante software antivirus actualizado ou programas limpadores recomendados polo Incibe.

 

3. AMCleaner – 8.3% do total de deteccións

  • Plataforma: MacOS
  • Perigo: Non avaliado
  • Características: AMCleaner, tamén coñecido como Advanced Mac Cleaner, é un PUP (programa potencialmente non desexado) para equipos Macintosh. Aínda que a súa actividade non é realmente daniña para os equipos, pode abrir a porta a novas infeccións con programas máis perigosos.
  • Síntomas: Ao acceder a certas páxinas web, AMCleaner presentará aos seus visitantes varias afirmacións falsas sobre a detección de problemas relacionados con malware no dispositivo. É posible que se mostre unha xanela de escaneo falsa que informa de varias ameazas atopadas, tentando amedrentar ao usuario para que descargue unha aplicación de ‘limpeza’. Se se descarga e instala, a aplicación empezará a xerar notificacións falsas de problemas no sistema para impulsar aos usuarios para pagar pola versión completa do programa.
  • Eliminación: Preferentemente mediante antivirus.

 

4. RootSTV – 8.2% do total de deteccións

  • Plataforma: Android (versións antigas)
  • Perigo: Baixo
  • Características:  RootSTV é un malware dirixido a televisores intelixentes (aínda que pode infectar outros dispositivos Android), que normalmente executan versións antigas dese sistema operativo. Adoita propagarse a través de aplicacións maliciosas que supostamente permiten aos usuarios ver canles de televisión doutras partes do mundo.
  • Síntomas: Posible retardación de resposta do aparello. Aparecen aplicacións instaladas sen consentimento do usuario.
  • Eliminación: Se o aparello permíteo, instalar un antivirus desde Google Play Store. En caso contrario, restaurar ao estado inicial (factory default) e aplicar as actualizacións máis recentes que estean dispoñibles.

 

5. Triada – 4,3% do total de deteccións

  • Plataforma: Android
  • Perigo: Non avaliado
  • Características: O malware Triada identificouse en 2016 como un troyano para Android que instalaba aplicacións adicionais nos dispositivos, para funcións de spam e enganar ás estatísticas. Posteriormente, mutou e converteuse nunha porta traseira de Android que permitía acceder ao sistema de SMS para interceptar mensaxes de transaccións económicas ou buscar no sistema datos como tarxetas de crédito ou credenciais.
  • Síntomas: Triada é un malware difícil de localizar, de feito detectouse nalgunha ocasión no 'firmware' dalgún modelo de móbil, antes mesmo de ser vendido. 
  • Eliminación: Recoméndase o uso de antivirus tanto para detección como para eliminación. Tamén se poden utilizar as utilidades propostas polo Incibe.

 

6. Hiddad – 3.8% do total de deteccións

  • Plataforma: Android
  • Perigo: Non avaliado
  • Características: Hiddad ten características principalmente de ‘adware’ (mostrar anuncios), pero tamén pode acceder a información de seguridade do usuario almacenada no equipo. Adóitase instalar a partir do instalador modificado dunha aplicación lexítima, e pide permisos de administración para poder ocultarse de programas antivirus.
  • Síntomas: móstrase publicidade non solicitada de maneira frecuente. Un síntoma característico é que se forza ao usuario para outorgar cinco estrelas á aplicación nunha valoración, o que aumenta o seu atractivo e aparencia de lexitimidade para novas vítimas.
  • Eliminación: mediante antivirus actualizado.

 

7. CrossRider – 3.7% do total de deteccións

  • Plataforma: Windows/MacOS
  • Perigo: Baixo
  • Características: Crossrider é unha plataforma de desenvolvemento de software que se enfoca á adquisición de datos e a monetización para aplicacións web, servidores de anuncios e redes.
  • Síntomas: Cambios non desexados da páxina de inicio do navegador, aparece un número excesivo de anuncios, o equipo pódese retardar.
  • Eliminación: Recoméndase o uso de antivirus, aínda que para usuarios avanzados pódense atopar instrucións técnicas en distintas páxinas web, tanto para Macintosh como para Windows. 

 

8. UUpay – 3.4% do total de deteccións

  • Plataforma: Android
  • Perigo: non avaliado
  • Características: Uupay é un troiano que recompila datos sobre o equipo infectado, como a súa localización e contactos. Tamén pode descargar e instalar software, e ler e enviar mensaxes de texto, así como ler e manipular a información de conexión. Aínda que en 2014 houbo unha vaga na que este malware viña instalado de fábrica nalgúns móbiles, o método de contaxio habitual é a instalación de aplicacións infectadas.
  • Síntomas: aparición de aplicacións non instaladas polo usuario, peche espontáneo de aplicacións, cambios nas conexións sen causa aparente.
  • Eliminación: Se o malware vén de fábrica, só pódese eliminar mediante unha actualización do firmware do terminal (consultar co fabricante). Noutros casos, pódense utilizar as utilidades recomendadas polo Incibe.

 

9. Glupteba – 3.1% do total de deteccións

  • Plataforma: Windows e Macintosh
  • Perigo: alto

  • Características: troiano que proporciona unha porta traseira no equipo infectado e fai que pase a formar parte dunha botnet. Nas últimas versións permite facerse co control dos navegadores, accedendo á información almacenada neles (historial, nomes de usuario e contrasinais…), e dispón dun módulo para tratar de comprometer o router, de modo que poida ser utilizado como proxy (ver nº 2 desta lista).

    Un medio de infección é a través de ‘Exploit kits’, aplicacións que se incrustan en páxinas web, de modo que detectan as versións dos navegadores que acceden a elas e tratan de aproveitar as vulnerabilidades específicas. Cabe recomendar que tanto o sistema operativo como as aplicacións (incluíndo a navegador web) mantéñanse actualizados.

  • Síntomas: sen descrición.
  • Eliminación: mediante as utilidades recomendadas polo Incibe para Windows e para Macintosh.

 

10. Crackonosh – 3% do total de deteccións

  • Plataforma: Windows
  • Perigo: Non avaliado
  • Características: Crackonosh é un troyano con capacidade de minar criptomoedas. Ademais, permite o acceso remoto aos atacantes, e o equipo pasa a formar parte dunha botnet. Adóitase atopar en instaladores de software pirateado: ao instalar ese software instálase tamén o malware, e tamén se instala ao abrir adxuntos de correos electrónicos infectados, anuncios maliciosos en liña ou mediante técnicas de enxeñería social que inciten a executar un arquivo.
  • Síntomas: desactivación do software antivirus do equipo. Durante o minado de criptomoneda utiliza os recursos do equipo infectado, polo que se pode detectar lentitude e sobrecarga do procesador.
  • Eliminación: mediante un antivirus actualizado ou as utilidades recomendadas polo Incibe.

 

*As porcentaxes refírense ao número de direccións IP nas que se detecta cada tipo de malware en relación ao número total de direccións IP nas que se detecta algún malware (Fonte: BitSight).

**Para a avaliación do perigo tómanse como referencia diversas fontes de acceso público.