Un nuevo informe de la empresa de seguridad en la nube Zscaler arroja luz sobre las crecientes amenazas móviles en los sistemas operativos Android, así como las amenazas a los dispositivos IoT y OT. Los hallazgos surgen en un momento en que más del 60% del tráfico global de Internet es generado actualmente por dispositivos móviles y las amenazas móviles con fines financieros han aumentado un 111% durante el último año. Una lista de amenazas de malware móvil ThreatLabz de Zscaler fue testigo de un aumento del 29% en el malware bancario móvil respecto al año anterior, y el malware bancario representó el 20% del panorama total de amenazas de Android. Las familias de malware bancario más activas hasta la fecha incluyen: Vultur, que se distribuye principalmente a través de Google Play Store. Hydra, distribuido a través de mensajes de phishing, sitios web y aplicaciones maliciosas de Google Play Store. Ermac, diseñado para robar datos financieros de aplicaciones bancarias y de billetera. Anatsa, también conocido como TeaBot Coper, también conocido como Octo Nexus, apunta principalmente a cuentas de criptomonedas. La mayoría de estos malware bancario registran pulsaciones de teclas, secuestran credenciales e interceptan mensajes SMS para evitar la autenticación multifactor. VER: Cómo crear un programa eficaz de concientización sobre la ciberseguridad (TechRepublic Premium) Las amenazas de software espía se disparan en más de un 100 % Además del malware bancario, las amenazas de software espía también han aumentado; los investigadores indican que las transacciones bloqueadas aumentaron en un 100 % con respecto al año anterior. Los programas espía más frecuentes reportados son SpyLoan, SpinOk y SpyNote. SpyLoan tiene la capacidad de robar datos personales de los dispositivos, como cuentas, información del dispositivo, registros de llamadas, aplicaciones instaladas, eventos del calendario, metadatos y más. El software espía SpinOk recopila datos y archivos confidenciales de varias ubicaciones en el dispositivo infectado y extrae los datos a un servidor controlado por el atacante. SpyNote, también conocido como CypherRat, proporciona capacidades adicionales de acceso remoto para que el atacante pueda controlar la ejecución del software en el dispositivo móvil. Según Zscaler, la mayoría del malware móvil se dirigió a India (28%), Estados Unidos (27%) y Canadá (15%), seguidos de Sudáfrica (6%), Países Bajos (5%), México (4%), Nigeria (3%), Brasil (3%), Singapur (3%) y Filipinas (2%). Los 10 principales países afectados por malware móvil. Imagen: Zscaler Los sectores afectados incluyen tecnología (18%), educación (18%), manufactura (14%), comercio minorista y mayorista (12%) y servicios (7%). Sectores más afectados. Imagen: Zscaler El malware para móviles se distribuye mediante varios métodos. Un método consiste en utilizar técnicas de ingeniería social. Como ejemplo, Zscaler informa que los atacantes implementaron el malware móvil Copybara mediante ataques de phishing por voz (vishing), donde la víctima recibía instrucciones de voz para instalar el malware en sus teléfonos Android. La estafa de códigos QR también es común, donde se engaña a las víctimas para que escaneen códigos QR maliciosos que conducen a infecciones de malware o, en algunos casos, a páginas de phishing. Algunos programas maliciosos también están disponibles en Google Play Store. Esto incluye a Joker, que suscribe silenciosamente a los usuarios a servicios premium sin su consentimiento para generar cargos, seguido del tipo de malware publicitario y facestealer, un ladrón de cuentas de Facebook. Familias de malware más frecuentes en Google Play Store. Imagen: Zscaler En general, a pesar de una disminución general de los ataques a Android, las amenazas móviles con fines financieros han aumentado un 111% durante el último año. Cobertura de seguridad de lectura obligada Amenazas de IoT y OT Los entornos de Internet de las cosas y tecnología operativa siguen expandiéndose y son cada vez más el objetivo de los atacantes, según el informe. Los investigadores indican que la cantidad de dispositivos IoT que interactúan con ellos ha crecido un 37% año tras año. Los ataques de malware de IoT han aumentado un 45% durante el año pasado, siendo los enrutadores el tipo de dispositivo más atacado, con más del 66% de los ataques dirigidos a estos dispositivos. Las principales familias de malware que afectan a los dispositivos IoT son Mirai (36,3%) y Gafgyt (21,2%). Las botnets creadas con este malware en dispositivos IoT se pueden utilizar para lanzar grandes ataques distribuidos de denegación de servicio. Los dispositivos IoT son los más afectados por los ataques de malware. Imagen: Zscaler En cuanto a la distribución geográfica, más del 81% de los ataques de malware de IoT están dirigidos a EE. UU., seguido de Singapur (5,3%), Reino Unido (2,8%), Alemania (2,7%), Canadá (2%), y Suiza (1,6%). Países más atacados: ataques de malware de IoT. Imagen: Zscaler Los principales sectores afectados por los ataques de malware de IoT son la manufactura (36,9%), el transporte (14,2%), la alimentación, las bebidas y el tabaco (11,1%). En el lado de OT, el 50% de los dispositivos en muchas implementaciones utilizan sistemas operativos heredados al final de su vida útil. Los protocolos propensos a diferentes vulnerabilidades también suelen estar expuestos en entornos OT, como SMB o WMI. Como ejemplo, ThreatLabz analizó el contenido de OT de una organización de fabricación a gran escala, que comprende más de 17.000 dispositivos OT conectados en más de 40 ubicaciones diferentes. Cada sitio contenía más de 500 dispositivos OT con sistemas operativos Microsoft Windows al final de su vida útil, muchos de los cuales tenían vulnerabilidades conocidas. El 67% del tráfico global a los dispositivos OT no estaba autorizado o estaba bloqueado. Protocolos de tráfico interno riesgosos en un entorno OT de fabricación. Imagen: Zscaler ¿Cómo será el futuro? Según Zscaler, los dispositivos IoT y OT seguirán siendo los principales vectores de amenazas, mientras que el sector manufacturero seguirá siendo uno de los principales objetivos de los ataques de IoT, incluido el ransomware. Zscaler también sospecha que la inteligencia artificial se utilizará cada vez más para realizar campañas de phishing de alta calidad dirigidas a usuarios móviles. Sin embargo, la IA también ayudará a los defensores a automatizar funciones críticas y priorizar mejor sus esfuerzos. Cómo proteger los dispositivos IoT y OT de los ciberataques Para protegerse de las amenazas en los dispositivos IoT y OT, es necesario: Obtener visibilidad en los dispositivos IoT y OT es una prioridad. Las organizaciones necesitan descubrir, clasificar y mantener listas de todos los dispositivos IoT y OT utilizados en todo su entorno. Mantenga todos los sistemas y software actualizados y parcheados para evitar que se vean comprometidos por vulnerabilidades comunes. Los registros de red deben recopilarse y analizarse. Se deben controlar especialmente los accesos sospechosos a cuentas de usuarios y eventos del sistema. Se debe implementar la autenticación multifactor cuando sea posible, y las contraseñas y cuentas predeterminadas deben cambiarse o deshabilitarse. Se debe aplicar la segmentación de dispositivos Zero-Trust para los activos de IoT y OT para minimizar la exposición de los datos. Cómo proteger los dispositivos móviles de los ciberataques Para protegerse de las amenazas en los dispositivos móviles, es importante: Instalar aplicaciones de seguridad en los dispositivos, para protegerlos del malware y posibles intentos de phishing. Cualquier enlace que llegue al teléfono móvil, sin importar la aplicación, debe examinarse con cautela. En caso de un enlace sospechoso, no se debe hacer clic en él ni informar al personal de seguridad de TI. Deben evitarse aplicaciones desconocidas. Además, nunca se deben descargar aplicaciones de terceros o de fuentes que no sean de confianza. Las empresas también deben tener cuidado con las aplicaciones que solicitan actualizaciones inmediatamente después de la instalación. Una aplicación descargada de Play Store debe tener la última versión. Si una aplicación solicita permiso para actualizarse inmediatamente después de la instalación, debe considerarse sospechosa y podría indicar que un malware intenta descargar componentes maliciosos adicionales. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.