ZeuS, un troyano bancario que nació hace cinco años, y su evolución Citadel han sido los responsable del 50 por ciento de los ataques contra usuarios de banca online en el segundo semestre de 2012. Junto a ZeuS y Citadel hay otros troyanos bancarios que destacan entre los más peligrosos.
La compañía de seguridad G Data ha publicado el Informe de Malware de G Data, que estudia los últimos seis meses de 2012. En dicho informe se muestra que el número de troyanos bancarios se redujo considerablemente respecto a la primera mitad del año. Se trata de un descenso que podría estar motivado por las detenciones de cibercriminales importantes en este sector durante los primeros meses de 2012.
Pese al descenso, no hay que bajar la guardia puesto que sigue habiendo troyanos bancarios activos muy peligrosos. La compañía ha realizado un análisis de esos troyanos gracias a los datos recopilados con la herramienta G Data BankGuard. Los datos hacen referencia al segundo semestre de 2012. Casi la mitad de los ataques producidos por troyanos bancarios durante dicho periodo tuvieron a ZeuS y a su secuela Citadel como protagonistas.
"El principal motivo que ha hecho de ZeuS una amenaza tan longeva ha sido su facilidad para reproducirse y generar nuevas variantes que han mantenido, con mayor o menor éxito, su capacidad de ataque. Estoy seguro de que veremos nuevas variantes de ZeuS en 2013, aunque habrá que ver si mantienen la capacidad de ataque de Citadel", ha comentado el experto en seguridad en G Data Software Eddy Willems.
Sin embargo es otro troyano, Bankpatch, el más repetido durante el segundo semestre de 2012. Se trata de un programa malicioso con una "cuota de mercado" del 27 por ciento. Desde la compañía de seguridad han explicado que generalmente este programa se instala a través de páginas web adulteradas y, una vez dentro del equipo, tiene la capacidad de esconderse a sí mismo y modificar los archivos de sistema para rastrear la navegación del usuario y robar las claves de acceso a la banca.
Por detrás de Bankpatch está el citado Citadel, exitosa variación de ZeuS. El programa malicioso acumuló un 25 por ciento de todas las infecciones. Este programa tiene algunas capacidades adicionales como la de grabar vídeo a través de la webcam. ZeuS ocupa por si solo el tercer lugar de este podio. El veterano malware acumula un 22 por ciento de todas las infecciones, y todo indica que está muy lejos de desaparecer por completo.
Sinowal, un troyano especializado en el robo de datos de cuentas bancarias y tarjetas de crédito, ha concentrado el 13,5 por ciento de los ataques. Sin embargo, desde G Data han comentado que Sinowal parece que pierde fuerza ya que en el primer trimestre de 2012 su cuota era del 37 por ciento.
Con cuotas muy reducidas están Tatanga (3,6 por ciento), un troyano bancario con capacidades "man in the browser" y con técnicas de rootkit para ocultar su presencia; y SpyEye, que permite a los estafadores grabar imágenes de las víctimas (3,3 por ciento).
PREVISIONES PARA EL FUTURO
De cara al futuro, los expertos de G Data SecurityLabs no esperan que se reduzcan los ataques protagonizados por troyanos bancarios en 2013 pues el botín que se puede conseguir seguirá resultando muy atractivo para gran cantidad de delincuentes. Sin embargo, es muy probable que los responsables de estas actividades redoblen sus esfuerzos por mantenerse ocultos y se tomen más en serio las posibles consecuencias legales de sus acciones.
Hasta la fecha, Europa del Este ha sido el centro del comercio con troyanos bancarios, en parte porque las partes involucradas se han sentido relativamente seguras en cuanto a la persecución de sus actividades. En estas regiones, sin embargo, se han puesto en marcha una serie de acciones para enviar el mensaje claro de que esta seguridad ya no existe. Por esta razón, es muy probable que este comercio sumergido en torno a los troyanos bancarios se haga incluso más opaco o bien se traslade a países donde es menos probable que estas actividades sean perseguidas por las autoridades.
Analizando los casos concretos de troyanos, Bankpatch parece que reduce su capacidad de infección por lo que su futuro, al menos como protagonista de infecciones masivas, parece cuestionable. El autor de Citadel, la variante más prolífica de ZeuS, permanece oculto y parece improbable que se vuelva a localizar este malware en los primeros puestos del listado. Los expertos de G Data están seguros de que surgirán nuevos clones de ZeuS a lo largo de 2013, aunque no será fácil que alcancen las tasas de infección logradas con Citadel.
Además, parece que existen indicios que muestran un posible retorno del troyano Carberp. A pesar de que nunca registró unas tasas de infección especialmente altas parece estar comercializándose de nuevo en el mercado negro. El hallazgo de una nueva variante móvil de Carberp es otro indicador de esta actividad.