XHelper a toda velocidad, entre los 10 principales malware de 2019

Los investigadores de Check Point han anunciado que el troyano móvil XHelper se está extendiendo tan rápido que ha entrado en la lista de los 10 principales malware de este año (puesto número 8), además de ser la mayor amenaza que afecta a los móviles.

De hecho, en el último Índice de Amenazas Globales para noviembre de 2019 se marca la primera vez que un troyano móvil ingresa a la lista general de malware superior en más de tres años.

Además, ha resultado ser la amenaza móvil más frecuente durante el último mes (noviembre). También se ha informado que el troyano móvil Xhelper se vio por primera vez en el ecosistema en marzo de 2019.

Xhelper, de acuerdo a un comunicado de prensa, es un troyano de Android multipropósito que puede descargar otras aplicaciones maliciosas y mostrar anuncios maliciosos.

También se ha detallado que es una aplicación persistente, capaz de reinstalarse incluso si la víctima la desinstala. El código del malware se ha actualizado durante los últimos seis meses, de forma constante, lo que le ayuda a evadir las soluciones antivirus móviles y a seguir infectando a nuevas víctimas.

“El malware más buscado de noviembre fue la botnet Emotet, que retuvo la posición número 1 desde octubre. Sin embargo, en noviembre, impactó al 9% de las organizaciones a escala mundial, frente al 14% del mes anterior”.

Entonces, se ha explicado que Emotet y XHelper son malware versátiles y multipropósito que se pueden adaptar a las necesidades de los delincuentes, como la distribución de ransomware, la difusión de campañas de spam o la distribución de publicidad maliciosa a los dispositivos de los usuarios.

Esto, a juicio de los investigadores, muestra que los delincuentes están probando múltiples tácticas ilícitas diferentes para monetizar sus operaciones, en lugar de seguir una sola tendencia, como la criptominería, que dominó el sector del malware en 2018.

“Es esencial que las organizaciones implementen soluciones antimalware de última generación en sus redes y en los dispositivos móviles de los empleados para proteger todos los puntos finales empresariales”.

Según lo planteado, también deben educar a los empleados sobre los peligros de abrir archivos adjuntos de correos electrónicos, descargar recursos o hacer clic en enlaces que no provienen de una fuente o contacto confiable.

Familias de malware predominantes

Desde Check Point se ha afirmado que Emotet ha mantenido su posición en la parte superior de la lista de malware con un impacto global del 9%. XMRig, por su parte, ha sido el segundo malware más popular que impactó al 7% de las organizaciones en todo el mundo, seguido por Trickbot, que ha impactado al 6% de las organizaciones a escala mundial.

Hay que recordar que Emotet es un troyano modular avanzado y autopropagante que se utilizó originalmente como un troyano bancario y, más recientemente, como distribuidor de otro malware o campañas maliciosas.

Emotet utiliza múltiples métodos para mantener las técnicas de persistencia y evasión para evitar la detección. Igualmente se puede propagar a través de correos electrónicos de spam de phishing que contienen archivos adjuntos o enlaces maliciosos.

Entre tanto, XMRig es un software de minería de CPU de código abierto que se utiliza para extraer la criptomoneda Monero y se ha visto por primera vez en el ecosistema en mayo de 2017.

Finalmente, Trickbot es un troyano bancario dominante que se actualiza constantemente con nuevas capacidades, características y vectores de distribución, lo que permite que sea un malware flexible y personalizable que se puede distribuir como parte de campañas multipropósito.

Otro muy conocido ha sido Agent Tesla, un RAT avanzado que funciona como un keylogger y un ladrón de contraseñas que se ha ubicado en la posición número 9 este año.

“El agente Tesla es capaz de monitorear y recopilar la entrada del teclado de la víctima, el portapapeles del sistema, tomar capturas de pantalla y filtrar credenciales pertenecientes a una variedad de software instalado en la máquina de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook)”.

Glupteba, por su parte, ha cerrado la lista en la posición 10. Se trata de un cuentagotas de malware con una variedad de capacidades: recopila información del sistema, información del navegador oculto, incluidas las credenciales de la víctima, y puede transformar la máquina infectada en un robot de criptominería.

Glupteba, según las investigaciones de Check Point, también es capaz de explotar los enrutadores MikroTik y configurarlo como proxy SOCKS.

Malware predominante en dispositivos móviles

XHelper, una nueva entrada a la lista de malware principal, ha sido el malware móvil más frecuente, seguido por Guerilla y Lotoor. Como ya se ha explicado, se trata de una aplicación de Android maliciosa, vista en el ecosistema desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y mostrar anuncios.

La aplicación tiene la capacidad de ocultarse del usuario y de los programas antivirus móviles, al tiempo que puede reinstalarse en caso de que el usuario la desinstale.

Guerilla es un troyano Android que se encuentra incrustado en múltiples aplicaciones legítimas y que es capaz de descargar cargas maliciosas adicionales. Este malware genera ingresos publicitarios fraudulentos para los desarrolladores de aplicaciones.

Por su parte, Lotoor es una herramienta de pirateo que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root en dispositivos móviles comprometidos, de acuerdo a lo revelado por los investigadores de Check Point.