Informe: Malware máis detectado nas redes galegas durante o mes de outubro de 2023

Imaxe

Hai tempo que a creación e distribución de malware deixou de ser unha actividade de mera sabotaxe para obter notoriedade. Na actualidade, aínda que existen outros obxectivos como os vinculados ao activismo (hacktivismo) ou mesmo á ‘ciberguerra’, o malware créase e distribúese principalmente coa intención de obter proveito económico.

Deste xeito, resulta habitual que un equipo infectado con malware estableza algún tipo de comunicación cos responsables da infección de modo que facilite ese obxectivo de obter diñeiro dela.

Cada elemento de malware establece esas comunicacións dunha maneira que o caracteriza ante os equipos de investigación; analizando certo tipo de tráfico na internet é posible determinar onde hai equipos infectados con algún dos programas maliciosos que se van coñecendo, estudando e clasificando. Deste xeito, e utilizando as características de clasificación xeográfica das direccións IP, chégase a dispoñer de información sobre este tráfico asociado á existencia de malware que ten a súa orixe (ou destino) en equipos que acceden a Internet desde Galicia.

Neste informe móstranse e caracterizan as dez principais ameazas que se detectaron nas redes galegas durante o mes de outubro de 2023:

1. ArrkiiSDK – 10.4% do total de deteccións

  • Plataforma: Android
  • Perigosidade: Non avaliada
  • Características: ArrkiiSDK é un tipo de malware que se propaga a través de aplicacións para teléfonos móbiles ou tabletas que utilizan o sistema operativo Android. Ao iniciar a aplicación que trae consigo o virus, ábrese a porta a que este poida entrar na navegador web do móbil e, mesmo, levar a páxinas que estean tamén infectadas por outro tipo de virus.
  • Síntomas: Móstranse anuncios de maneira abusiva, instálanse aplicacións sen consentimento do usuario. Posible lentitude do aparello.
  • Eliminación: Pódese resolver a infección desinstalando a app que leva o malware oculto no seu interior. De ser difícil determinar cal é, recoméndase utilizar un antivirus.

 

2. RootSTV – 9.7% do total de deteccións

  • Plataforma: Android (versións antigas)
  • Perigosidade: Baixa
  • Características:   RootSTV é un malware dirixido a televisores intelixentes (aínda que pode infectar outros dispositivos Android), que normalmente executan versións antigas dese sistema operativo. Adoita propagarse a través de aplicacións maliciosas que supostamente permiten aos usuarios ver canles de televisión doutras partes do mundo.
  • Síntomas: Posible lentitude de resposta do aparello. Aparecen aplicacións instaladas sen consentimento do usuario.
  • Eliminación: Se o aparello o permite, instalar un antivirus desde Google Play Store. En caso contrario, restaurar ao estado inicial (factory default) e aplicar as actualizacións máis recentes que estean dispoñibles.

 

3. AMCleaner – 8.3% do total de deteccións

  • Plataforma: MacOS
  • Perigosidade: Non avaliada
  • Características: AMCleaner, tamén coñecido como Advanced Mac Cleaner, é un PUP (programa potencialmente non desexado) para equipos Macintosh. Aínda que a súa actividade non é realmente daniña para os equipos, pode abrir a porta a novas infeccións con programas máis perigosos.
  • Síntomas: Ao acceder a certas páxinas web, AMCleaner presentará aos seus visitantes varias afirmacións falsas sobre a detección de problemas relacionados con malware no dispositivo. É posible que se mostre unha xanela de escaneo falsa que informa de varias ameazas atopadas, tentando amedrentar ao usuario para que descargue unha aplicación de ‘limpeza’. Se se descarga e instala, a aplicación empezará a xerar notificacións falsas de problemas no sistema para impulsar aos usuarios para pagar pola versión completa do programa.
  • Eliminación: Preferentemente mediante antivirus.

 

4. Mirai – 8.1% do total de deteccións

  • Plataforma: Linux (IoT)
  • Perigosidade: Baixa
  • Características: Mirai é un malware que converte os dispositivos en rede que executan Linux en bots controlados de forma remota que se poden usar como parte dunha botnet en ataques de rede a gran escala. Diríxese principalmente a dispositivos de consumo en liña, como cámaras IP, enrutadores domésticos ou mesmo unidades de almacenamento NAS. Unha vez que se detecta o dispositivo, o malware tenta acceder utilizando o seu contrasinal por defecto.
  • Síntomas: Pola propia natureza de moitos dispositivos IoT, resulta difícil detectar estas infeccións. Se se dispón de dispositivos que manteñen o seu contrasinal de administración por defecto, porque non se poida cambiar ou porque se deixou por descoido, débese revisar a súa configuración, pero require de coñecementos especializados detectar os cambios
  • Eliminación: Na maior parte dos casos, a mellor opción será volver á configuración de fábrica, cambiar o contrasinal de administración (se se pode) e volver aplicar a configuración desexada.

 

5. CrossRider – 4.3% do total de deteccións

  • Plataforma: Windows/MacOS
  • Perigosidade: Baixa
  • Características: Crossrider é unha plataforma de desenvolvemento de software que se enfoca á adquisición de datos e a monetización para aplicacións web, servidores de anuncios e redes.
  • Síntomas: Cambios non desexados da páxina de inicio do navegador, aparece un número excesivo de anuncios, o equipo pode aomsar unha resposta máis lenta.
  • Eliminación: Recoméndase o uso de antivirus, aínda que para usuarios avanzados pódense atopar instrucións técnicas en distintas páxinas web, tanto para Macintosh como para Windows.

 

6. Sality – 3,9% do total de deteccións

  • Plataforma: Windows
  • Perigosidade: Media-baixa
  • Características: Sality é un conxunto antigo de diversos programas maliciosos. Aínda que ten a súa orixe en 2003, segue mantendo a súa relevancia porque os seus programadores continúan evolucionando este malware e engaden novas funcións. Utilizan diversas vías de infección: campañas de phishing que inducen a descargar e executar o seu instalador, infección a través de cartafoles compartidos ou unidades extraíbles... Unha vez instalado, serve de vector para distintas accións maliciosas: roubar información, abrir ‘portas traseiras’ para instalar máis malware, ocultarse como ‘rootkit’, o equipo pode pasar a formar parte dunha rede botnet etc.
  • Síntomas: Para cumprir cos seus obxectivos, este malware tenta pasar desapercibido tanto tempo como sexa posible. É recomendable dispoñer dun antivirus actualizado que o poida detectar.
  • Eliminación: Recoméndase o uso de antivirus, aínda que existen ferramentas gratuítas en liña que o detectan e eliminan.

 

7. Triada – 3.9% do total de deteccións

  • Plataforma: Android
  • Perigosidade: Non avaliada
  • Características: O malware Triada identificouse en 2016 como un troyano para Android que instalaba aplicacións adicionais nos dispositivos, para funcións de spam e enganar ás estatísticas. Posteriormente, mutou e converteuse nunha porta traseira de Android que permitía acceder ao sistema de SMS para interceptar mensaxes de transaccións económicas.
  • Síntomas: Triada é un malware difícil de localizar, de feito tense detectado nalgunha ocasión no 'firmware' dalgún modelo de móbil, antes mesmo de ser vendido. É recomendable dispoñer dun antivirus actualizado que o detecte e elimine.
  • Eliminación: Recoméndase o uso de antivirus.

 

8. Conficker – 3.4% do total de deteccións

  • Plataforma: Windows
  • Perigo: Baixa (alta no referente a exposición de información).
  • Características: Conficker é un verme informático que se comezou a propagar no mes de novembro do ano 2008. Atacaba unha vulnerabilidade dos sistemas operativos de Microsoft da época e lograba tomar o control do dispositivo infectado para convertelo en parte dunha botnet. Entre as instrucións que pode recibir un equipo infectado están descargar outros programas maliciosos, como spywares ou keyloggers, para rastrexar as actividades do usuario e os seus contrasinais.
  • Síntomas: En caso de dispoñer dun computador cun sistema operativo anterior a Windows 7, (Vista ou XP e en servidores 2008 ou anterior), o equipo é susceptible de ser infectado. O malware é capaz de desactivar as actualizacións automáticas e software antivirus antigo. 
  • Eliminación: Para o caso de Conficker, dada a antigüidade da ameaza e que os equipos vulnerables son obsoletos, a recomendación, sen dúbida, é a actualización a un sistema operativo con soporte técnico en vigor. Utilizar un equipo tan inseguro e que xa se demostra que foi comprometido é un risco constante. En calquera caso, existen na internet ferramentas específicas para a súa eliminación.

 

9. DarkGate – 3.2% do total de deteccións 

  • Plataforma: Windows
  • Perigosidade: Baixa
  • Características: DarkGate é un malware que permite a descarga e execución doutros malware nos equipos infectados. Por si mesmo ten as seguintes capacidades: recompilación de información, roubo de credenciais, criptominería, ferramenta de acceso remoto: DarkGate pode iniciar unha conexión de rede virtual e recibir e executar comandos.
  • Síntomas: Para detectar o malware DarkGate débense buscar signos de actividade sospeitosa, como rendemento lento do sistema, programas que se bloquean con frecuencia, ou a presenza de aplicacións descoñecidas.
  • Eliminación: DarkGate non é sinxelo de eliminar de maneira manual. Recoméndase o uso de antivirus actualizado.

 

10. SuperOptimizer – 3.2% do total de deteccións

  • Plataforma: Windows
  • Perigosidade: Baixa
  • Características: O malware SuperOptimizer é un programa que se presenta como unha ferramenta para mellorar o rendemento do computador. Tras un suposto escaneo inicial, avisa de numerosos problemas que, informa, poderán ser corrixidos adquirindo a versión de pago. Téñense reportado capacidades de modificación do rexistro para asegurar a persistencia e de espionaxe de distintas fontes de información nos equipos infectados.
  • Síntomas: Avisos alarmistas de diferentes problemas no equipo que se solucionarían adquirindo a versión de pago.
  • Eliminación: Existen métodos manuais de eliminación, pero requiren varias operacións. Para un usuario medio, recoméndase o uso de antivirus.

     

*As porcentaxes refírense ao número de direccións IP nas que se detecta cada tipo de malware en relación ao número total de direccións IP nas que se detecta algún malware (Fonte: BitSight).

**Para a avaliación do perigo tómanse como referencia diversas fontes de acceso público.