Las amenazas en Android protagonistas de un mes de febrero en el que ESET alertó de los riesgos de ciberseguridad en IoT

Madrid, 7 de marzo de 2019. Febrero es un mes marcado a fuego en el calendario tecnológico por la celebración del Mobile World Congress de Barcelona, donde se han presentado no solo los dispositivos móviles más actuales, sino las tendencias que se seguirán en el mundo del Internet de las Cosas (IoT) a corto y medio plazo, y donde se incluye la ciberseguridad. ESET acudió al evento y presentó sus investigaciones sobre amenazas tanto en dispositivos móviles como en el IoT.

Amenazas en Android y edificios inteligentes

Aprovechando este importante evento, ESET ha publicado dos investigaciones que tienen que ver, por un lado, con los troyanos bancarios y las falsas aplicaciones de banca online y, por el otro, con los ataques a edificios inteligentes que ya se están produciendo. En lo que respecta a las amenazas como son los troyanos bancarios y aplicaciones de banca fraudulentas para smartphones Android, el investigador de ESET Lukas Stefanko presentó un informe en el que se observan cómo ambas amenazas suponen un riesgo importante para los usuarios a pesar de utilizar técnicas bien diferentes.

Además, el pasado mes de febrero, los investigadores de ESET anunciaron el descubrimiento del primer malware Clipper en Google Play . Este tipo de amenaza se caracteriza por interceptar el contenido del portapapeles y reemplazarlo por aquello que especifique el delincuente. En el caso de las transacciones con criptomonedas el usuario afectado podría acceder a una dirección de cartera online que no se correspondiera con la suya, y sí con la del cibercriminal que se quedaría con las criptomonedas.

En lo que respecta a los ataques a edificios inteligentes, ESET presentó los primeros casos detectados de Siegeware, el secuestro de ciertos sistemas usados en estos edificios solicitando un rescate para poder retomar el control de los mismos. Se han observado varios casos en edificios de oficinas y podría ser una tendencia creciente a corto y medio plazo.

Aumentan los casos de phishing

Desde hace unos meses también hemos visto cómo han ido aumentando los casos de phishing, y febrero no ha sido la excepción. Durante las últimas semanas hemos analizado varias campañas orientadas tanto a usuarios de todo el mundo como a españoles. Durante la primera quincena de febrero se observaron dos campañas que suplantaban la identidad de los conocidos servicios de transferencia de ficheros WeTransfer y Dropbox . En estos correos de phishing se invitaba a los usuarios a descargar unos supuestos archivo, que les conducían a unas webs fraudulentas que solicitaban los datos de acceso. Después, si el usuario los introducía, los delincuentes los robaba.

Además de estas campañas tradicionales de phishing también conocimos una nueva técnica que está empezando a ser utilizada por los delincuentes para resultar más convincentes y conseguir que sus víctimas no duden en introducir sus credenciales. Pudimos ver un ejemplo en una campaña de phishing en Facebook basada en la posibilidad de introducir una pantalla de registro falsa dentro de una web en un formato que puede pasar por legítimo para la mayoría de usuarios. “El incremento de las campañas de phishing demuestra que son una de las amenazas más rentables para los delincuentes” indica Josep Albors, responsable de investigación y concienciación de ESET España. “Es importante que tomemos conciencia de la magnitud de este problema y aprendamos a reconocer de una vez por todas este tipo de mensajes malintencionados para que no sea tan fácil para los delincuentes robar los datos de los usuarios”, concluye Albors.

Ransomware y troyanos

Si bien los casos de ransomware ya no son tan masivos como lo fueron hace meses, eso no significa que esta amenaza haya desaparecido. El ransomware sigue activo e innovando en sus técnicas para infectara nuevas víctimas y pasar desapercibido. Un ejemplo de ello lo tenemos en GandCrab, una de las amenazas de este tipo que más ha dado que hablar recientemente.

Los creadores de este malware han empleado técnicas ingeniosas recientes, como ocultar en una imagen los comandos de descarga del código malicioso que se encarga de cifrar el contenido del sistema infectado. Además, han realizado campañas dirigidas a ciertos países concretos, y han cambiado la imagen utilizada en cada una de ellas. En el caso de Italia, la imagen utilizada fue la del conocido personaje de videojuegos Super Mario. Si hablamos de campañas dirigidas, los usuarios españoles fueron el objetivo de una serie de correos electrónicos que simulaban ser una solicitud de presupuesto que incluía adjunto un documento Excel . Este archivo contenía un código malicioso en forma de una macro y además, los delincuentes se aprovechaban de una vulnerabilidad de 2017 en Office para conseguir una mayor tasa de éxito.

Vulnerabilidades en WinRAR y WordPress

Febrero también ha venido acompañado de vulnerabilidades en aplicaciones y servicios de todo tipo que en algunos casos no han tardado en ser aprovechadas por los delincuentes. Quizás la más llamativa de todas ha sido la descubierta en el manejo de archivos ACE, con WinRAR como principal, pero no como único protagonista. Este agujero de seguridad ha permanecido oculto durante 19 años y, tras hacerse público, no han tardado en aparecer los primeros exploits que intentan aprovecharlo para infectar a los usuarios.

Por último, acaba de ser descubierta en el conocido gestor de contenidos (CMS) WordPress una vulnerabilidad que llevaba oculta más de 6 años. A pesar de que se necesita una cuenta con ciertos privilegios en el CMS para poder aprovecharse de este fallo de seguridad, se ha descubierto que también se puede explotar en cualquier sitio WordPress con cierto plugin instalado que manipule de forma incorrecta entradas Post Meta, algo que ocurre en millones de sitios web actualmente.