Relatório de informações de segurança cibernética do Avira 2020

2020 foi um ano excepcional por diversos motivos. O cenário global das ameaças foi afetado significativamente por criminosos cibernéticos adotando o COVID-19 como elemento principal em suas campanhas de phishing.

O malware para Windows continua dominante, mas a quantidade de ameaças independentes de plataforma cresce a cada mês. Malwares para OSX e Android cresceram em seus ambientes, e cada uma das plataformas possui uma variedade única de categorias de ameaça.

Nossos mapas de ameaças mostram diferenças claras onde cada tipo de malware ataca, com alguns países e regiões sendo mais suscetíveis a ataques do que outros.

Resumo global de 2020 e uma comparação com 2019

Apenas um mês de 2020 teve um volume menor de ataques em comparação com 2019: o mês de agosto. O maior aumento pode ser identificado no início do ano, com um topo notável em abril, além de pontos mais avançados no ano a partir de setembro. A situação do Covid-19 certamente foi um fator que impulsionou os números no início do ano, mas as atividades se estabilizaram por volta do mês de junho.

Em comparação com 2019, a quantidade de ameaças prevenidas globalmente aumentou em aproximadamente 15%, e os primeiros meses de 2020 tiveram o maior impacto nesse resultado. 

Durante o último ano testemunhamos mais ameaças de malware únicas do que nunca.

Nosso banco de dados cresceu de 556 milhões em 2019 para aproximadamente 652 milhões no final de 2020, o que significa que por volta de 17% de todas as ameaças já encontradas pela Avira e seus clientes foram adicionadas durante os últimos 12 meses. Isso não nos diz quantas ameaças podem ser encontradas de fato em circulação, mas é um indicativo de que os autores de malware do mundo estão produzindo um fluxo interminável dos mesmos.

Vamos dar uma olhada nos tipos de ataques que foram bloqueados pela Avira em 2020. Estes dados incluem todas as plataformas (Windows, macOS e Android) e mostram em quais países vimos usuários e seus dispositivos serem mais atacados por atividades maliciosas. Os países em vermelho são os que tiveram mais ataques. Quanto mais clara a cor, menor a chance de um usuário daquele país ter encontrado malware.

Ameaças web 

Bloqueios de URL e phishing formam a maior porcentagem nessa categoria.

Um bloqueio de URL é quando o Antivírus atua caso o usuário entre acidentalmente em uma página infectada. Geralmente, estas páginas de phishing imitam bancos ou serviços populares como PayPal ou eBay. Assim que o usuário desavisado insere seu nome de usuário e senha, a página redireciona para o site ebay.com ou paypal.com verdadeiro, fazendo com que o usuário pense que cometeu um erro na digitação. Isso faz com que as contas sejam comprometidas sem que a vítima perceba, um dos motivos pelo qual o antigo estigma “online banking não é seguro” ainda existe.

Esta categoria depende muito de campanhas de phishing ativas, como e-mails de phishing que enviam para uma página de login falsa e que podem variar muito entre algumas semanas e outras.

Ameaças web por país 

Como nosso mapa deixa claro, países no norte são mais propensos a encontrarem páginas maliciosas do que países no hemisfério sul. Isso não impede que a Índia apareça perto do topo novamente, junto com Cingapura, Dinamarca e os EUA (risco muito grande de enfrentar ataques web). Em seguida temos os países nórdicos, as Ilhas Britânicas e a Bélgica.

No centro superior temos a Europa Central, com a região da DACH, França, Itália e Espanha (alto nível de ameaça).

O menor nível de taxa de bloqueio de URL foi registrado nas regiões da África do Norte e do Oeste Asiático (nível médio-baixo de ameaça).

Ameaças Android mais importantes de 2020 

Em 2020 tivemos um aumento de 35% em detecções bancárias no Android, que podem ser explicadas pelo aumento de atividade nos serviços bancários pelo celular durante 2020.

Seguem as ameaças mais importantes que definiram o cenário de malwares para Android em 2020:

  • Aplicativos com tema COVID-19

Como informado, com o início da pandemia do COVID-19, autores de malware criaram diversas táticas para se aproveitarem do medo e desejo por informações dos usuários. Um exemplo dessas ações é uma variante do cavalo de Troia bancário Cerberus, encontrada geralmente com o nome “Corona-Apps.apk“, que utiliza táticas de phishing e sua conexão com o nome do vírus para enganar os usuários e fazer com que o instalem em seus smartphones.

“Já faz muito tempo os autores de malware utilizam truques psicológicos para enganar usuários desavisados. Nos encontramos em uma situação onde muitas pessoas estão buscando por respostas e estão preocupadas por causa do COVID-19. Os autores do malware exploram essa incerteza”, explica Alexander Vukcevic, diretor do Avira Protection Labs.

  • Stalkerware 

Aplicativos detectados como Stalkerware (também conhecidos como spouseware) são um subconjunto da categoria de malware Spyware e pode comprometer a privacidade do usuário e a segurança do sistema local. O app pode ser instalado sem conhecimento ou consentimento do dono do dispositivo para espionar e monitorar secretamente as informações pessoais da vítima – imagens, vídeos, mensagens, dados de localização.

Devido ao aumento das atividades de aplicativos de Stalkerware no ambiente Android, a Avira se uniu à Coalizão contra Stalkerware, para ajudar a lutar contra essa ameaça. Você pode encontrar informações sobre isso e uma análise de um app de um app de Stalkerware típico neste artigo.

  • Cavalos de Troia bancários no Android

Cavalos de Troia bancários sempre tiveram um papel importante na cena de malwares para Android e este ano não foi diferente. Além da tática de usar o COVID-19 como disfarce, ataques bancários também utilizam a abordagem clássica: disfarçar como um aplicativo utilizado amplamente, pedir permissões incomuns e tentar roubar dados de cartão de crédito. 

Ameaças Android por país

A pandemia aumentou o desejo por informação do público em geral, que foi vítima de diversos tipos de esquemas criados por autores de malware para Android, a maioria utilizando aplicativos que alegavam conseguir confirmar se o usuário foi infectado ou não, simplesmente adicionando palavras-chave específicas do COVID no nome do app (“corona”, “covid” etc).

Em nosso mapa global, percebemos a mudança em outro padrão. As ameaças Android são encontradas mais comumente no Irã, Algéria, Índia ou Paquistão (nível de ameaça Android muito alto), enquanto usuários no Japão, Canadá ou Finlândia (nível de ameaça Android médio) são expostos a menos ataques por uma margem considerável. Mesmo assim, a quantidade geral de ataques se equilibrou, o que significa que apenas alguns países têm um nível de ameaça significativamente maior ou menor do que a média.

Ameaças macOS 

O macOS é considerado por muitos como um sistema livre de malware. Isso já foi verdade em algum momento, mas com a taxa de adoção atual do ambiente macOS, autores de malware já descobriram maneiras de penetrar sistemas OSX. 

Adware e PUA formaram mais da metade de todas as detecções no macOS deste ano. 

Fazer com que o software pareça legítimo é a maneira mais fácil de passar pelos filtros da Apple, enquanto ainda se gera receita através de spam e anúncios no sistema infectado. Além disso, temos malwares mais clássicos, como travadores de tela ou ladrões.

Alguns aplicativos malicioso, distribuídos com pacotes de instalação, spam ou atualizadores falsos do Adobe Flash Player, exibem uma combinação de diversos comportamentos potencialmente indesejados como anúncios intrusivos e alteração do mecanismo de busca padrão do usuário (que pode causar problemas de privacidade para o mesmo).

Ataques de script e relacionados com o Office são muito comuns no macOS, compondo 21,5% do total.

Ataques de script e relacionados com Office geralmente são o primeiro estágio de infecção, sendo responsáveis pelo download do payload malicioso assim que conseguem infiltrar o sistema.

Ameaças macOS por país

Temos uma história totalmente diferente do Android para o ambiente macOS, onde podemos ver o mapa dividido pela metade. De um lado, países com um risco grande ou muito grande de infecção, e do outro lado, países com um número baixo ou muito baixo de ataques registrados.

Autores de malware para OSX e distribuidores de Adware claramente estão se concentrando nos mercados com maior adoção de dispositivos Apple, com os EUA no topo da lista (ameaça contra OSX muito alta), seguido por Canadá, Oeste Europeu, Austrália e Japão (ameaça contra OSX alta ou muito alta).

Há poucos países “no meio”, como a Itália e a China, que têm números elevados, mas ainda muito menores do que os países mencionados acima. América do Sul, África e Ásia são, com algumas exceções, um alvo incomum para ataques de malware baseados em macOS.

Ameaças na Internet das Coisas 

O panorama de ameaças da Internet das Coisas também cresceu em 2020. Com mais pessoas em casa, mais dispositivos inteligentes conectados constantemente à internet são comprados e instalados. A maioria desses dispositivos pode ser considerada segura, mas existe também uma dezena deles que são vulneráveis através de lacunas de segurança na configuração de hardware e software.

Como geralmente não há envolvimento de usuários, que poderiam ser enganados e instalar malware como com um app de Adware ou um e-mail de phishing, as ameaças da Internet das Coisas se concentram em dois vetores de ataques:

  • Exploração de vulnerabilidades de execução de código remoto
  • Ataques de força bruta de credenciais

O segundo vetor é especialmente trágico, já que só é possível com senhas padrão inalteradas ou senhas que não são fortes o suficiente para um dispositivo que está conectado permanentemente à internet.

Mais difíceis de evitar são as ameaças que exploram vulnerabilidades conhecidas dos dispositivos. Especialmente dispositivos mais antigos da Internet das Coisas estão vulneráveis às lacunas de segurança sem patch que criminosos podem usar para obter acesso à sua rede residencial ou empresarial.

Panorama de ameaças em evolução (previsões para 2021)

Não é fácil prever o futuro, especialmente se considerarmos a adaptabilidade e criatividade de alguns autores de malware. Mesmo assim vamos tentar prever a evolução do panorama de ameaças em 2021.

Um tópico importante é o afastamento do tradicional malware em executáveis para a utilização de arquivos não executáveis e ataques sem arquivos. Ataques sem arquivos são maneiras de infectar um dispositivo apenas com execução na memória do malware. Nenhum arquivo “físico” é baixado, dificultando a detecção por mecanismos antivírus tradicionais.

Outro tópico que não discutimos neste relatório até agora são os exploits. Cada ano que passa supera o anterior em termos de falhas de segurança encontradas em aplicativos comuns. Os softwares que utilizamos estão cada vez mais complexos e o mundo está mais conectado do que nunca, deixando as portas abertas para caçadores de exploits encontrarem novas vulnerabilidades. Claro que nem todos os caçadores de vulnerabilidades são autores de malware (ainda bem!), mas acreditamos que teremos ainda mais vulnerabilidades exploradas em 2021 do que jamais antes visto.

Também estamos observando uma mudança organizacional, onde mais e mais hackers estão usando ferramentas e malwares que não foram desenvolvidos por eles, e sim disponibilizados ou comprados de outras partes. Isso separa ainda mais as duas entidades “hacker” e “autor de malware” em grupos diferentes de pessoas no mesmo ramo. Claro, ainda esperamos que certos grupos, bem como agências estatais, mantenham suas criações secretas e somente as utilizem para ataques muito específicos contra alvos de alta prioridade, como por ex., desenvolvendo e usando suas próprias APTs (Ameaças Persistentes Avançadas).

Este artigo também está disponível em: FrancêsEspanholItaliano

Content Manager
Former journalist. Storyteller at heart.