Kaspersky: “Los troyanos de acceso remoto pueden tener un control casi total de los dispositivos móviles”

Hace unas semanas se celebró el congreso SuriCon, un punto de encuentro para el aprendizaje técnico y la innovación en seguridad basada en el ecosistema y la comunidad de código abierto.

Organizado por la Open Information Security Foundation (OISF), su principal foco es la herramienta open source Suricata, diseñada para la detección de intrusiones y monitorización de redes.

Con motivo de este evento, hemos tenido la oportunidad de entrevistar a una de sus ponentes:  Tatiana Shishkova, Lead Security Researcher, GReAT Kaspersky, que lleva más de ocho años en la compañia investigando y desarrollando técnicas avanzadas para detectar software malicioso en dispositivos Android y redes a través de herramientas como Snort y Suricata.

Su experiencia la ha llevado a presentar investigaciones en foros globales como Mobile World Congress y Security Analyst Summit. Sus investigaciones más recientes incluyen el estudio de troyanos bancarios y la familia de herramientas de ciberespionaje multiplataforma GravityRAT.

Asimismo, Shishkova se ha destacado por su compromiso con la inclusión en STEM como miembro de la comunidad Women of Suricata y por su labor en la Coalición contra el Stalkerware, donde trabaja activamente en la detección y clasificación de este tipo de amenazas, ayudando a proteger a las víctimas de acoso digital.

De todo esto y más nos habla en esta interesante entrevista:

—¿Qué temas ha abordado en su presentación en la SuriCon de este año? ¿Qué pueden esperar aprender los asistentes sobre detección y respuesta ante amenazas? 
Hablé sobre el uso de Suricata para detectar CVE en la red -vulnerabilidades públicamente reveladas en software o hardware que pueden ser potencialmente explotadas por atacantes- y destaqué las vulnerabilidades más populares que los actores de amenazas intentan abusar, basándome en datos de nuestra Plataforma Kaspersky Anti Targeted Attack. También demostré cómo se puede utilizar Suricata para protegerse contra estas amenazas.

—¿Cuáles son las principales tendencias actuales del malware para Android y a qué retos se enfrentan los investigadores en la detección y mitigación? 
Los troyanos bancarios móviles siguen en aumento, y los troyanos bancarios modernos suelen tener plenas capacidades de RAT (troyano de acceso remoto). Los atacantes pueden obtener un acceso casi total al dispositivo, incluida la transmisión en tiempo real de la pantalla del dispositivo.

Además, los autores utilizan diferentes trucos para ocultar las funcionalidades maliciosas. El malware móvil moderno suele tener varias fases, lo que significa que emplea un enfoque sofisticado y a menudo polifacético para infectar dispositivos, eludir la detección y llevar a cabo sus actividades maliciosas. Además, puede pasar desapercibido durante mucho tiempo, como se demostró en el caso Mandrake.

—Sus últimas investigaciones se han centrado en los troyanos bancarios y Mandrake. ¿Qué particularidades ha encontrado en estas amenazas que las hacen especialmente peligrosas? 
Efectivamente, mi investigación reciente se ha centrado en una nueva campaña de spyware que distribuye el malware Mandrake a través de Google Play, disfrazado de cinco aplicaciones legítimas, entre ellas una relacionada con las criptomonedas. Estas cinco aplicaciones, publicadas en Google Play en 2022, acumularon más de 32.000 descargas.

Aunque estas apps maliciosas ya no están disponibles en Google Play, antes eran accesibles en varios países, y la mayoría de las descargas se produjeron en Canadá, Alemania, Italia, México, España, Perú y Reino Unido.

El spyware es uno de los tipos de malware más nefastos, capaz de pasar desapercibido en un dispositivo mientras recopila información sobre su propietario. El riesgo aumenta cuando el spyware se disfraza de aplicaciones en la tienda oficial, lo que subraya la importancia de extremar la precaución e instalar soluciones de seguridad probadas.

En Kaspersky hicimos un análisis técnico detallado de esta campaña: https://securelist.com/mandrake-apps-return-to-google-play/113147/.
Los puntos principales son que Mandrake utiliza muchos trucos anti análisis, emulador y comprobaciones de entorno para evitar que se ejecute en el entorno de un analista, y descarga la carga útil final sólo en dispositivos que son de especial interés para los atacantes. Esto permitió que este malware permaneciera en Google Play durante 2 años, eludiendo con éxito todos los controles de seguridad.

—¿Cómo han evolucionado herramientas como Snort y Suricata en la detección de amenazas, y qué papel desempeñan en la estrategia de defensa contra ataques avanzados? 
Casi todos los ataques requieren algún tipo de comunicación de red entre el dispositivo atacado y los servidores de mando y control del atacante, y estas actividades de red pueden detectarse utilizando herramientas como Suricata y Snort. Las versiones de Suricata se actualizan constantemente, recibiendo capacidades adicionales para detectar actividades de red sospechosas. La principal tarea de los analistas es mantenerse al día de las actualizaciones de Suricata y de las últimas funciones añadidas para aprovechar al máximo las capacidades de Suricata.

—¿Qué avances ha realizado la Coalición contra el Stalkerware en la lucha contra el acoso digital y cómo se utilizan las herramientas de Kaspersky para detectar y mitigar estas amenazas? 
La Coalición publica materiales informativos que explican cómo una víctima puede entender que está siendo acosada y qué hacer en este caso; coopera con organizaciones sin ánimo de lucro que ayudan a las víctimas de acoso, proporcionándoles información y apoyo técnico; coordina el trabajo de varios proveedores de seguridad informática para detectar e identificar aplicaciones de stalkerware. Los productos de Kaspersky se utilizan para detectar las últimas versiones de programas stalkerware en el dispositivo, Kaspersky también coopera directamente con organizaciones locales sin ánimo de lucro que ayudan a las víctimas de acoso.

—En su experiencia como ponente en foros mundiales como el Mobile World Congress, ¿qué diferencias o similitudes ha encontrado en las amenazas y estrategias de ciberseguridad entre regiones? 
Las amenazas cibernéticas están presentes en todas las regiones, con diferencias que surgen en el sector de las amenazas financieras, por ejemplo. Estas variaciones pueden atribuirse a las tendencias locales y a las características distintivas de los mercados de tecnología financiera en las distintas zonas. Por ejemplo, en Europa, América Latina y Rusia, los atacantes utilizan diferentes estrategias para infectar a los usuarios con troyanos bancarios. Los métodos de ingeniería social utilizados como vector de infiltración también difieren, y las aplicaciones maliciosas se disfrazan de diferentes aplicaciones o servicios legítimos populares en una región específica.

—¿Qué avances tecnológicos espera en los próximos años en el campo de la detección y respuesta ante amenazas, y cómo se está preparando Kaspersky para ellos? 
La IA y el aprendizaje automático (ML) llevan mucho tiempo desempeñando un papel crucial en la ciberseguridad defensiva, mejorando tareas como la detección de malware y la prevención del phishing. Kaspersky, por ejemplo, lleva casi dos décadas utilizando la IA y el ML para resolver problemas específicos.
En la actualidad contamos con un equipo dedicado a la Investigación de Tecnología de IA de Kaspersky, que aplica algoritmos de ciencia de datos e IA para detectar varias ciberamenazas, incluyendo malware, phishing & spam y ataques dirigidos a gran escala – contribuyendo a la detección de más de 411,000 objetos maliciosos diariamente.

—Como miembro de Women of Suricata, ¿qué acciones considera esenciales para promover la inclusión y la diversidad en el campo de la ciberseguridad? 
El primer paso es eliminar los prejuicios en la contratación de profesionales, centrarse en las competencias profesionales y ofrecer oportunidades a los profesionales principiantes con acceso limitado a la educación o la práctica. Por ejemplo, la OISF (desarrolladores de Suricata IDS) trabaja con el programa de prácticas Outreachy.

También es importante mostrar ejemplos de mujeres que han alcanzado el éxito en la profesión, y que estas mujeres compartan sus conocimientos con otras. En Kaspersky, proporcionamos acceso gratuito a la formación en línea sobre redacción de normas Suricata a las becarias seleccionadas por la OISF. Las mujeres que trabajan con Suricata se mantienen en contacto, organizan llamadas Zoom, se ayudan mutuamente a preparar charlas para conferencias.

—Para finalizar, ¿qué consejo daría a los jóvenes interesados en una carrera en ciberseguridad, especialmente a las mujeres que quieren entrar en este campo? 
No tengáis miedo de pedir ayuda y hacer preguntas, ¡todo el mundo empezó en algún momento!