ordenador e ide

El mundo de la informática está lleno de incertidumbres. Una de las pocas cosas que los usuarios de OS X y Linux podíamos dar por seguras es que, gracias a la herencia Unix, estábamos algo más protegidos que los usuarios de Windows. El sistema de archivos, la distribución del árbol de carpetas y el escalado de privilegios nos daban muchos motivos para estar tranquilos. Además, y especialmente en el caso de Linux, ser usuario de un sistema que para una gran parte de la comunidad informática es marginal, también tenía sus ventajas en materia de seguridad. Esos días felices parecen haber terminado.

Hoy hemos sabido que gracias a la labor de los cibercriminales han aparecido los primeros troyanos multiplataforma que aprovechan Java para expandirse.

Java es el vehículo de los virus cross platform

Las noticias nos llegan a través de Kaspersky Labs, un reputado desarrollador de antivirus. Los descubrimientos de sus últimas investigaciones habrían detectado archivos ejecutables de Java —JAR— como el vehículo de propagación del malware. Estos archivos funcionan en las tres grandes plataformas de escritorio.

Los JAR infectados roban información bancariaLos JAR infectados roban información bancaria

Si se empaqueta software malicioso dentro de un archivo JAR, es susceptible de ejecutarse en cualquier objetivo, de forma totalmente agnóstica al sistema operativo. Esto hasta hoy no era posible, ya que los creadores de virus deben crear una versión especializada para cada plataforma. Con el Java Runtime Environment se unificaba la ejecución en una máquina virtual que funciona en cualquier parte, lo que soluciona ese problema.

Eso sí, para que el virus pueda funcionar es necesario que el ordenador objetivo ejecute Java. Es bastante probable que sea así, ya que se encuentra instalado en un 80% de los ordenadores a nivel mundial.

Los hackers brasileños han sido los primeros

Según se recoge en el informe de Kaspersky, los hackers brasileños han sido los primeros en aprovecharse del JRE para extender malware. No se trata del trabajo de un solo grupo, sino que hay distintas formaciones de cibercrimen cariocas experimentando con archivos JAR para infectar distintos equipos.

Los primeros ciberciminales en aprovechar los JAR son brasileñosLos primeros ciberciminales en aprovechar los JAR son brasileños

Según Kaspersky, hay dos campañas distintas que utilizan JAR infectados. Estas dos campañas trabajan con tres virus diferentes: Trojan-Banker.Java.Agent, Trojan-Downloader.Java.Banload y Trojan-Downloader.Java.Agent. Es bastante difícil que los antivirus los detecten, pero tampoco son exactamente malware: se trata de software utilizado para después realizar la infección, lo que se conoce como un dropper.

Estos droppers se dedican, a grandes rasgos, a poner un pie en la puerta para que lo demás pueda pasar. Tienen una funcionalidad maliciosa muy limitada, lo que hace que puedan pasar los controles antivirus con mayor facilidad. Dado que lo más difícil es penetrar en un sistema operativo, teniendo droppers multiplataforma es más fácil colar todo tipo de malware en cualquier parte.

Por ahora Brasil y España se llevan el grueso de las infecciones con estos JAR modificados. Están apareciendo más casos en China y Alemania donde según Kaspersky criminales locales ya están experimentando con estos archivos ejecutables.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?