Android Malware

Hasta ahora los ataques de ransomware, software malicioso utilizado para secuestrar nuestros archivos y pedir rescate por los mismos, se habían centrado en las plataformas de escritorio, particularmente Windows. Sin embargo investigadores de Fortinet, una empresa enfocada al software empresarial, advierten la puesta en marcha de un nuevo tipo de ransomware que afecta específicamente a los usuarios de Android.

Detectado como Android/Locker.FK!tr, el ransomware infecta a los dispositivos Android camuflándose de un videojuegos conocido –King Online– pero que es descargado de fuentes no oficiales. Al instalarse solicita permisos de administrador los cuales habilitan a este software malicioso para hacer y deshacer con nuestro móvil.

Ransomware camuflado del juego King Online

De entrada, destacan que de momento este malware está atacando a los usuarios de Rusia –esto no impide que a corto plazo veamos amenazas similares y de las cuales debemos estar advertidos.

Mensaje de Ransomware traducido. Cortesía de Fortinet.

Fortinet describe que, luego de bloquear nuestro móvil, los atacantes solicitan la suma de 545,000 rublos (unos $9,100) para liberar nuestro móvil. Evidentemente, las víctimas prefieren dejar de utilizar su smartphone y comprarse uno nuevo puesto que el precio de rescate es de 10 a 100 veces el precio de cualquier móvil en el mercado.

Para pagar por el rescate, las víctimas deberán ingresar los datos de su tarjeta de crédito directamente en la pantalla que aparece. Algo que difiere muchísimo de las técnicas hasta ahora implementadas en este tipo de ataques, donde los hackers solicitan el pago vía Bitcoins o tarjetas de regalo.

Una selfie de su ojo condujo a un acosador hasta la casa de esta estrella pop

La gente de Fortinet que realizó un extenso análisis del software malicioso, logró identificar que las conexiones, el envío y recepción de información así como la ejecución de instrucciones remotas, se realizan a través de un canal encriptado y utilizando la plataforma de Google conocida como Firebase Cloud Messaging. Esta plataforma facilita a los desarrolladores la integración rápida y sencilla de notificaciones push en sus aplicaciones –evidentemente los hackers han logrado uno de los peores usos.

Kai Lu de Fortinet, explica que con FCM los hackers pueden enviar hasta 20 comandos distintos a sus víctimas, comandos que van desde bloquear o desbloquear la pantalla del dispositivo, agregar nuevos contactos al teléfono, sustraer contactos, enviar mensajes SMS, e incluso actualizar el software malicioso instalado.

Por el momento, la mejor forma de protegerse es evitando descargar aplicaciones de fuentes desconocidas o no seguras. Si han sido víctimas de este tipo de Ransomware, no se les ocurra realizar un pago y en todo caso, tampoco permitan que el móvil se conecte a su red porque podría enviar la información almacenada en su smartphone a los atacantes. Investigadores aseguran que el Android/Locker.FK!tr, se puede eliminar este software al reiniciar el móvil de forma segura y desinstalar la aplicación infectada –en este caso King Online. Luego, lo mejor seria reiniciar el software a las configuraciones de fábrica.

Más en TekCrispy