Informe: Malware máis detectado nas redes galegas durante o mes de xaneiro de 2024

Imaxe

Existen diferentes tipos de programas maliciosos, englobados baixo o nome xenérico de malware. Moitos dos elementos de malware actuais seguen patróns de comunicación propios que, unha vez que son descubertos polo persoal que se dedica a ese tipo de investigación, é posible localizar entre o tráfico da internet. A súa detección delata a presenza de malware no equipo ou equipos que están a acceder a Internet a través dunha dirección IP determinada. As direccións IP, que identifican a orixe e destino de todas as comunicacións a través da rede, distribúense de maneira que é posible coñecer cal é a súa localización. Deste xeito chégase a dispoñer de información sobre este tráfico asociado á existencia de malware que ten a súa orixe (ou destino) en equipos que acceden a Internet desde Galicia.

É oportuno destacar que pode existir malware activo que non sexa detectado deste xeito, por exemplo porque os seus patróns de comunicación non son coñecidos.

Neste informe móstranse e caracterizan as dez principais ameazas que se detectaron nas redes galegas durante o mes de xaneiro de 2024:

1. ArrkiiSDK – 9.5% do total de deteccións

  • Plataforma: Android
  • Perigo: Non avaliado
  • Características: ArrkiiSDK é un tipo de malware que se propaga a través de aplicacións para teléfonos móbiles ou tabletas que utilizan o sistema operativo Android. Ao iniciar a aplicación que trae consigo o virus, ábrese a porta a que este poida entrar na navegador web do móbil e, mesmo, levar a páxinas que estean tamén infectadas por outro tipo de virus.
  • Síntomas: Móstranse anuncios de maneira abusiva, instálanse aplicacións sen consentimento do usuario. Posible retardación do aparello.
  • Eliminación: Pódese resolver a infección desinstalando a app que leva o malware oculto no seu interior. De ser difícil determinar cal é, recoméndase utilizar un antivirus.

 

2. Socks5Systemz- 9.1% do total de deteccións

  • Plataforma: Windows
  • Perigo: Non avaliado
  • Características: o malware instálase a través doutras dúas familias de malware de tipo ‘loader’ (Amadey e PrivateLoader), que previamente infectaron os equipos de destino a través de diversos medios como a descarga de aplicacións falsas, correos electrónicos de phishing, ou publicidade e sitios web maliciosos.

    Unha vez que se instalou, os equipos poden ser utilizados como ‘proxies’, é dicir, alguén se conectará a eles e todo o que faga na internet quedará rexistrado na dirección IP da vítima, impedindo que o atacante sexa rastrexado. Os distribuidores do malware venden o acceso a este servizo de ‘proxy’ a quen estea interesados en ocultar as súas accións na rede. Usos típicos son realizar ataques de denegación de servizo (DDoS), descargar e instalar malware noutros dispositivos e roubar información persoal, como contrasinais e números de tarxetas de crédito.

  • Síntomas: non se describen, para detectalo débese usar software antivirus actualizado.
  • Eliminación: mediante software antivirus actualizado ou programas limpadores recomendados polo Incibe.

 

3. AMCleaner – 8.1% do total de deteccións

  • Plataforma: MacOS
  • Perigo: Non avaliado
  • Características: AMCleaner, tamén coñecido como Advanced Mac Cleaner, é un PUP (programa potencialmente non desexado) para equipos Macintosh. Aínda que a súa actividade non é realmente daniña para os equipos, pode abrir a porta a novas infeccións con programas máis perigosos.
  • Síntomas: Ao acceder a certas páxinas web, AMCleaner presentará aos seus visitantes varias afirmacións falsas sobre a detección de problemas relacionados con malware no dispositivo. É posible que se mostre unha xanela de escaneo falsa que informa de varias ameazas atopadas, tentando amedrentar ao usuario para que descargue unha aplicación de ‘limpeza’. Se se descarga e instala, a aplicación empezará a xerar notificacións falsas de problemas no sistema para impulsar aos usuarios para pagar pola versión completa do programa.
  • Eliminación: Preferentemente mediante antivirus.

 

4. RootSTV – 7.9% do total de deteccións

  • Plataforma: Android (versións antigas)
  • Perigo: Baixo
  • Características:  RootSTV é un malware dirixido a televisores intelixentes (aínda que pode infectar outros dispositivos Android), que normalmente executan versións antigas dese sistema operativo. Adoita propagarse a través de aplicacións maliciosas que supostamente permiten aos usuarios ver canles de televisión doutras partes do mundo.
  • Síntomas: Posible retardación de resposta do aparello. Aparecen aplicacións instaladas sen consentimento do usuario.
  • Eliminación: Se o aparello permíteo, instalar un antivirus desde Google Play Store. En caso contrario, restaurar ao estado inicial (factory default) e aplicar as actualizacións máis recentes que estean dispoñibles.

 

5. DarkGate– 5,7% do total de deteccións

  • Plataforma: Windows
  • Perigo: Baixo
  • Características: DarkGate é un malware que permite a descarga e execución doutros malware nos equipos infectados. Por si mesmo ten as seguintes capacidades: recompilación de información, roubo de credenciais, criptominería, ferramenta de acceso remoto: DarkGate pode iniciar unha conexión de rede virtual e recibir e executar comandos.
  • Síntomas: Para detectar o malware DarkGate débense buscar signos de actividade sospeitosa, como rendemento lento do sistema, programas que se bloquean con frecuencia, ou a presenza de aplicacións descoñecidas. 
  • Eliminación: DarkGate non é sinxelo de eliminar de maneira manual. Recoméndase o uso de antivirus actualizado.

     

6. UUpay – 5.0% do total de deteccións

  • Plataforma: Android
  • Perigo: non avaliado
  • Características: Uupay é un troiano que recompila datos sobre o equipo infectado, como a súa localización e contactos. Tamén pode descargar e instalar software, e ler e enviar mensaxes de texto, así como ler e manipular a información de conexión. Aínda que en 2014 houbo unha vaga na que este malware viña instalado de fábrica nalgúns móbiles, o método de contaxio habitual é a instalación de aplicacións infectadas.
  • Síntomas: aparición de aplicacións non instaladas polo usuario, peche espontáneo de aplicacións, cambios nas conexións sen causa aparente.
  • Eliminación: Se o malware vén de fábrica, só pódese eliminar mediante unha actualización do firmware do terminal (consultar co fabricante). Noutros casos, pódense utilizar as utilidades recomendadas polo Incibe.

 

7. CrossRider – 4.5% do total de deteccións

  • Plataforma: Windows/MacOS
  • Perigo: Baixo
  • Características: Crossrider é unha plataforma de desenvolvemento de software que se enfoca á adquisición de datos e a monetización para aplicacións web, servidores de anuncios e redes.
  • Síntomas: Cambios non desexados da páxina de inicio do navegador, aparece un número excesivo de anuncios, o equipo pódese retardar.
  • Eliminación: Recoméndase o uso de antivirus, aínda que para usuarios avanzados pódense atopar instrucións técnicas en distintas páxinas web, tanto para Macintosh como para Windows. 

 

8. Triada – 3,7% do total de deteccións

  • Plataforma: Android
  • Perigo: Non avaliado
  • Características: O malware Triada identificouse en 2016 como un troyano para Android que instalaba aplicacións adicionais nos dispositivos, para funcións de spam e enganar ás estatísticas. Posteriormente, mutou e converteuse nunha porta traseira de Android que permitía acceder ao sistema de SMS para interceptar mensaxes de transaccións económicas ou buscar no sistema datos como tarxetas de crédito ou credenciais.
  • Síntomas: Triada é un malware difícil de localizar, de feito detectouse nalgunha ocasión no 'firmware' dalgún modelo de móbil, antes mesmo de ser vendido. 
  • Eliminación: Recoméndase o uso de antivirus tanto para detección como para eliminación. Tamén se poden utilizar as utilidades propostas polo Incibe.

 

9. Hiddad – 3.5% do total de deteccións

  • Plataforma: Android
  • Perigo: Non avaliado
  • Características: Hiddad ten características principalmente de ‘adware’ (mostrar anuncios), pero tamén pode acceder a información de seguridade do usuario almacenada no equipo. Adóitase instalar a partir do instalador modificado dunha aplicación lexítima, e pide permisos de administración para poder ocultarse de programas antivirus.
  • Síntomas: móstrase publicidade non solicitada de maneira frecuente. Un síntoma característico é que se forza ao usuario para outorgar cinco estrelas á aplicación nunha valoración, o que aumenta o seu atractivo e aparencia de lexitimidade para novas vítimas.
  • Eliminación: mediante antivirus actualizado.

 

10. Conficker – 2.9% do total de deteccións

  • Plataforma: Windows
  • Perigo: Baixo (Alto no referente á exposición de información)
  • Características: Conficker é un verme informático que se comezou a propagar no mes de novembro do ano 2008. Atacaba unha vulnerabilidade dos sistemas operativos de Microsoft da época e lograba tomar o control do dispositivo infectado para convertelo en parte dunha botnet. Entre as instrucións que pode recibir un equipo infectado están descargar outros programas maliciosos, como spywares ou keyloggers, para rastrexar as actividades do usuario e os seus contrasinais.
  • Síntomas: En caso de dispoñer dun computador cun sistema operativo anterior a Windows 7, (Vista ou XP e en servidores 2008 ou anterior), o equipo é susceptible de ser infectado. O malware é capaz de desactivar as actualizacións automáticas e software antivirus antigo.
  • Eliminación: Para o caso de Conficker, dada a antigüidade da ameaza e que os equipos vulnerables son obsoletos, a recomendación, sen dúbida, é a actualización a un sistema operativo con soporte técnico en vigor. Utilizar un equipo tan inseguro e que xa se demostra que foi comprometido é un risco constante. En calquera caso, existen na internet ferramentas específicas para a súa eliminación.

 

*As porcentaxes refírense ao número de direccións IP nas que se detecta cada tipo de malware en relación ao número total de direccións IP nas que se detecta algún malware (Fonte: BitSight).

**Para a avaliación do perigo tómanse como referencia diversas fontes de acceso público.