El panorama del malware móvil en 2022: programas espía, ataques de zero-clic y smishing

El número de ciberataques no deja de incrementarse. De hecho, nuestro informe del primer semestre de 2022 reveló un aumento interanual global del 42% en los ataques. Y según el Informe de Riesgos Globales 2022 del Foro Económico Mundial, el 95% de los problemas de ciberseguridad se deben a errores humanos. Esto debería ser una señal de alarma para todas las empresas, especialmente con la transición al trabajo remoto e híbrido, donde los empleados utilizan dispositivos móviles con más frecuencia y que tienen acceso a los datos sensibles de la compañía y a la red empresarial.

El panorama actual del malware para móviles es un campo de minas con cada vez más vulnerabilidades explotadas y software espía desplegado. En nuestro último informe de seguridad, señalamos que el famoso software espía de NSO Group, Pegasus, estaba causando estragos después de que se descubriera que accedía a los dispositivos móviles de funcionarios gubernamentales y activistas de los derechos humanos. Desgraciadamente, el año 2022 no fue diferente, ya que se descubrió que Pegasus había comprometido los dispositivos del Ministerio de Asuntos Exteriores de Finlandia y del presidente del Gobierno de España, así como varios aparatos electrónicos de funcionarios del Reino Unido. No obstante, no es el único ejemplo que podemos encontrar de software de espionaje que puede ser utilizado en los dispositivos móviles, existen algunos más con capacidades similares como P6-GEO, Exodus, RCSAndroid o DropoutJeep.

En cuanto a las técnicas, este año hemos asistido a un aumento de los ataques “zero-clic” descubiertos. Como su nombre indica, esta amenaza no requiere la intervención de la víctima antes de desplegar el malware. Esto se debe a que aprovechan las vulnerabilidades existentes en las aplicaciones o sistema operativo instalado, lo que permite a los ciberdelincuentes pasar por encima de los sistemas de verificación y comenzar su ataque sin ser detectados. Lo vimos en acción en abril, cuando se descubrió un nuevo exploit de iMessage de zero-clic que permitía instalar Pegasus en los iPhones, y que funcionaba en algunas de las primeras versiones de iOS. En conveniente resaltar que, para que un ataque a un dispositivo móvil tenga éxito utilizando ataques zero-click, lo más habitual es utilizar una vulnerabilidad en una aplicación, para realizar la infección utilizando este “zero-clic” pero también es necesario el uso de otras vulnerabilidades en el sistema operativo o en las aplicaciones que nos permitan realizar escalado de privilegios con el fin de tomar el control absoluto de dicho dispositivo. Es decir, se utilizan diferentes vulnerabilidades en el conjunto del ataque para conseguir que este tenga éxito puesto que lo más habitual es que una vulnerabilidad puntual sólo pueda utilizarse para un propósito específico como la infección inicial.

Sin embargo, es importante destacar que estos ataques no son una amenaza sólo para los líderes mundiales, sino que también lo son para las personas y organizaciones de a pie. Nuestros teléfonos son centros de datos confidenciales personales, de información bancaria, así como también empresariales.

Además de los ataques “Zero Click”, también hemos observado un aumento continuo de la técnica de propagación conocida como “Smishing” que utiliza los mensajes SMS como vector de ataque para la distribución de malware. Estos intentos suelen imitar a marcas de confianza o contactos personales para atraer a la víctima a que haga clic en un enlace o comparta sus datos personales de forma confidencial. Este método ha demostrado ser particularmente exitoso, ya que crea un ciclo interminable de posibles víctimas.

Así es como se desplegó comúnmente el infame Flubot. Desde su aparición en diciembre de 2020, se considera la red de bots para Android de más rápido crecimiento jamás vista. Por ello, en junio, una operación internacional de las fuerzas de seguridad en la que participaron 11 países permitió acabar con su infraestructura y dejar inactivo el malware. El puesto de Flubot no podía quedar vacante durante mucho tiempo, ya que poco después apareció uno nuevo para Android llamado MaliBot. MaliBot tiene como objetivo la banca en línea y las carteras de criptomonedas en España e Italia.

Debido al aumento del uso de los móviles para fines laborales en los últimos dos años, atacarlos se ha convertido también en la nueva normalidad para los ciberdelincuentes. Es imprescindible que la concienciación general de los usuarios de teléfonos móviles con respecto a los ataques de ciberseguridad sea mucho mayor. Para combatir este riesgo, las organizaciones también deben tratar de inculcar estrategias proactivas que puedan mantener al personal y los datos corporativos a salvo de un posible ataque.