La industria de desarrollo de malware en Latinoamérica, ha ido creciendo a lo largo de los años. Mientras hace muchos años solo se desarrollaba malware en el “primer mundo”, la región latina ha comenzado a observar en los últimos años ataques desarrollados en países de la región. Son varios los países que se han destacado por la generación de códigos maliciosos locales, en los últimos años. De hecho, otros delitos informáticos distintos al malware, también ubican a Latinoamérica en un lugar de protagonismo: Brasil y Argentina están dentro de los diez países que más spam envían en el mundo; y en los últimos años hemos detectado crimeware de botnet desarrollados tanto en Perú como en México. Respecto a una de las amenazas más importantes en la región, los troyanos bancarios, nos propusimos analizar su situación en Latinoamérica, ¿en qué países se propaga con más facilidad esta amenaza? Para empezar, veamos un poco de qué estamos hablando…
Los troyanos bancarios son un tipo de troyano, que tiene como fin obtener de forma ilegítima las credenciales de acceso de los usuarios a la banca en línea, con el ánimo de robar dinero al usuario. ¿Cuáles son los principales métodos de robo de información? Podríamos mencionar dos vectores principales de ataque: la alteración de la resolución DNS, también conocido como ataque de pharming local; o la alteración del contenido HTTP en el navegador.
En el primer caso, el troyano lo que hace es modificar la resolución de nombres de dominio para los sitios web de bancos, de forma tal de enlazarlos a direcciones IP incorrectas, controladas remotamente por un atacante. De esta forma, cuando el usuario quiere acceder a cierto, la computadora va a consultar el sitio web desde el servidor del atacante, que podrá obtener las contraseñas o claves de acceso de la víctima. En la siguiente imagen puede observarse un archivos hosts modificado por el troyano identificado por ESET NOD32 como Win32/TrojanDownloader.Banload.PMI. Podrán observar que en el mismo se encuentran listados una serie de bancos brasileños, todos ellos enlazados a diversas direcciones IP:
Cuando un usuario desde una computadora infectada, intenta visitar algunos de los bancos listados en el archivo, la página web será cargada en el navegador del usuario, directamente desde el servidor del atacante (la dirección IP listada en el archivo) y no desde su ubicación original. De esta forma, a través de un ataque de phishing, el delincuente puede presentar a la víctima una página falsa lo más verosímil posible, y así obtener las credenciales de acceso al home banking del usuario en unos pocos segundos.
El segundo método consiste directamente en alterar el contenido de la página web que está viendo el usuario, de forma tal que se incluya algún mecanismo para obtener los datos de acceso de la víctima. Se destacan en este campo la alteración de la caché (memoria temporal), de forma tal de mostrar contenidos incorrectos y maliciosos en la web, o la utilización de iframes (marcos insertados sobre el contenido legítimo) que también posean rutinas dañinas.
Sobre este tipo de troyanos, nos dispusimos a analizar su propagación en la región, de forma tal de determinar cuán importantes son estas amenazas, y cuáles son los países de mayor preponderancia dentro de Latinoamérica. Para ello, utilizamos ThreatSense.Net, el sistema de alerta temprana de ESET, analizando la tasa de detección de diversos troyanos bancarios en los primeros meses del 2011 (hasta el 15 de abril). Para realizar las estadísticas, se consideraron los valores de troyanos bancarios dentro de las cien amenazas más detectadas en cada país. Entre otros, se consideraron las firmas detectadas por ESET NOD32 como Win32/Spy.Banker, Win32/TrojanDownloader.Banload.PMI y Win32/Qhost, como las más importantes, consideradas en todas sus variantes. Una vez finalizado el ranking, los resultados en tasas de detección totales de troyanos bancarios, fueron los siguientes:
Como se puede observar claramente en la imagen, claramente Brasil es el líder en la propagación de troyanos bancarios (5,99% de propagación), donde uno de cada diecisiete equipos ha recibido esta amenaza en lo que va del año. En segundo lugar, Colombia (2,30%) supera a México (que se ubica tercero con 1,73%), comprobando cómo en este país ha crecido la tasa de desarrollo de amenazas locales
Siguen a los países que componen el podio, respectivamente, Ecuador (1,72%), Guatemala (1,50%), Chile (1,35%), Argentina (1,13%) y Perú (0,62%). Como se puede observar, Brasil es el país con mayor tasa de infección por troyanos bancarios, seguido por Colombia y México respectivamente.
Nótese que también es un factor relevante la cantidad de variantes que conforman el porcentaje indicado en la anterior imagen. Mientras en Brasil ese casi seis por ciento es la sumatoria de la tasa de detección de veinte variantes de troyanos bancarios, en Colombia son solo cuatro las firmas que permiten ubicar al país en el segundo lugar: Win32/Qhost (0,52%) y tres variantes de Win32/TrojanDownloader.Banload. En este contexto, si se consideran las firmas, son Brasil, México y Argentina quienes se destacan por más cantidad de variantes de troyanos bancarios en propagación:
¿Cuál es el motivo del liderazgo brasileño en propagación de troyanos bancarios? Aunque no existe un factor determinante, claramente la potencia económica y la población, son factores determinantes que han colaborado para que el mercado brasileño sea el mayor generador de este tipo de amenazas orientadas a robar credenciales bancarias a las víctimas. Vale destacar, también, que Brasil se ha caracterizado en los últimos años por generar un amplio mercado de desarrollo de estas amenazas. Incluso hemos detectado amenazas desarrolladas en el país para bancos de otros países, como por ejemplo Chile.
Por otro lado, las medidas de seguridad utilizadas en Latinoamérica aún son más laxas que en el resto del mundo, otro factor que potencia el desarrollo de estos troyanos en la región; sumado a los retrasos legales en términos de perseguir a los responsables de este tipo de delitos.
En resumen, son muchos los factores que determinan que Latinoamérica sea la región con mayor tasa de propagación del mundo de troyanos bancarios y que, a la vez, Brasil sea el líder en el desarrollo de estas amenazas, como así también el país que posee más infecciones de este tipo, y por lo tanto más usuarios afectados por el robo de credenciales de la banca en línea.
Sebastián Bortnik
Coordinador de Awareness & Research