Encontrar familias de códigos maliciosos enfocadas en países particulares es una tendencia que hemos visto más evidente en los últimos meses. Basta con recordar casos como falsos correos de gobiernos de Guatemala y El Salvador que propagaban troyanos, el macro malware en falsos documentos bancarios en México o más recientemente Remtasu, un troyano cuya propagación ha tomado fuerza en Colombia.
En el caso puntual de Brasil, es el país dentro de América Latina en el que los troyanos bancarios son la amenaza número uno y en algunos casos estos niveles de propagación son los más altos incluso a nivel global. De hecho en lo que va corrido de 2015 para familias como Spy.Bancos, TrojanDonwloader.Banload y Spy.Banker en Brasil se encuentran los mayores niveles de detección, que para las dos primeras familias supera el 70% de las detecciones de cada familia a nivel mundial y para la tercera familia Brasil concentra la mitad de las detecciones.
Si bien hay diferentes tipos de amenazas dedicadas al robo de credenciales bancarias y existen algunos indicios que muestran una constante evolución del malware bancario, el comportamiento de algunas familias ha sido bastante particular en Brasil.
Niveles de detección crecientes
La familia que sigue teniendo la mayor cantidad de detecciones en Brasil a lo largo del año es Win32/TrojanDownloader.Banload. Este tipo de código malicioso una vez que infecta al usuario realiza la descarga de otros códigos maliciosos que intentan robar las contraseñas de acceso a portales bancarios. En la siguiente gráfica se puede observar cómo a lo largo del año mantuvo una tendencia creciente en la cantidad de detecciones de usuarios en Brasil:
Es importante recordar que esta familia de malware está relacionada con archivos maliciosos de extensión CPL, los cuales tienen características muy particulares y que solamente se ven en este país.
La otra familia de códigos maliciosos que tuvo un comportamiento creciente en la cantidad de detección durante este año es precisamente la que tiene niveles de detección menores a nivel global. Aun así las detecciones de Win32/Spy.Banker con respecto al total de detecciones globales fue creciendo en Brasil.
No está de más tener en cuenta que este tipo de código malicioso inyecta código de manera dinámica en páginas web y cuando el usuario acceda a las mismas e ingresa información esta se envía al atacante a través de un servicio de correo electrónico o cualquier otro protocolo.
No todas las familias tienen tendencias crecientes
Pero de estas familias no todas tuvieron un comportamiento creciente en la cantidad de detecciones. Las detecciones de Win32/Spy.Bancos, código malicioso que tiene la finalidad de robar credenciales bancarias, tuvo una tendencia decreciente en el porcentaje de detecciones en Brasil. En el siguiente gráfico se puede ver como durante enero de 2015 el 85% de detecciones de las diferentes variantes de este código malicioso estaba en Brasil, y para finales de noviembre este porcentaje era un 35% menor.
Espías bancarios en Android no son líderes en Brasil
Si bien ya vimos una serie de familias de códigos maliciosos relacionados con tratar de robar información bancaria con los mayores índices de detección en Brasil, hay otras familias desarrolladas para plataformas móviles que tienen pocos niveles de detección en este país.
Si bien al mirar las estadísticas y hablar de troyanos bancarios Brasil aparece como el primer afectado en el caso de computadoras, la realidad es bastante diferente cuando se trata de dispositivos móviles con sistema operativo Android. De hecho, solamente dos países de la región se encuentran en el top 10 de mayor cantidad de detecciones de la familia Android/Spy.Banker: Ecuador en el tercer lugar y Colombia en el octavo. Brasil aparece por fuera del top 50.
Con esta información revalidamos lo que marcamos desde el principio: tenemos ciberdelincuentes enfocados en afectar usuarios de la región. Si bien establecer su origen no es algo tan lineal como esperaríamos, sí es claro que como usuarios latinoamericanos no estamos exentos de ser víctimas de alguno de estos códigos maliciosos.
Así que, como primer paso para garantizar la seguridad de nuestros datos debemos reconocer que este tipo de incidentes podría llegar a ocurrir si no se cuenta con una adecuada protección. Informarnos de las tendencias de los ataques nos va a permitir mantenernos alertas y prevenir incidentes que afecten nuestra información.