Cuidado con DoubleLocker, el ransomware para Android

Autor: | Posteado en Noticias Sin comentarios

El equipamiento de ESET descubrió un reciente ransomware para Android que aprovecha los servicios de accesibilidad del sistema operacional para cifrar la información y cerrar los dispositivos.

Un conjunto de investigadores de seguridad de ESET, descubrió el primer ransomware que se aprovecha de los servicios de accesibilidad para Android™ y que, además de cifrar la información, es apto de cerrar el dispositivo.

Se trata de DoubleLocker y está fundamentado en el código de un troyano bancario, que aplica con fines maliciosos los servicios de accesibilidad del sistema operacional teléfono de Google. Si bien no cuenta con funciones relacionadas a la recolección de credenciales bancarias y el vaciado de cuentas, a esta amenaza se le añadieron 2 herramientas que le permiten extorsionar a las víctimas en búsqueda de dinero. La misma puede intercambiar el PIN del dispositivo y así esquivar que las víctimas accedan al idéntico y además cifrar la información que descubre en él. Una combinación que no se ha visto inclusive ahorita Android.

“Debido a sus raíces de amenaza bancaria, DoubleLocker bien podría convertirse en lo que podemos llamar ransom-bankers. Es un malware que funciona en 2 etapas. Primero trata de verter usted cuenta bancaria u de PayPal™ y después bloquea usted dispositivo e información para requerir el pago del rescate. Dejando las especulaciones de lado, la primera vez que se vio alguna versión de prueba de un ransom-banker de este tipo in the wild fue en mayo de 2017”, comentó Lukáš Štefanko, averiguador de malware de ESET que descubrió a DoubleLocker.

DoubleLocker se propaga cabalmente igual que aquel troyano en el que está basado. Se distribuye generalmente a través de una versión falsa de Adobe™ Flash Player, subida a sitios web comprometidos. Una vez ejecutada, la aplicación solicita la activación del servicio de accesibilidad del malware, llamado “Google Play Service” para mentir a los usuarios, que podrían suponer que se trata de un servicio legítimo de Google. Luego de que el malware obtiene los permisos de accesibilidad, los usa para accionar los derechos de director(admin) del dispositivo y se radica a sí idéntico como aplicación de Inicio (Home) por defecto, en ambos sucesos sin el consentimiento del usuario.

“Establecerse a sí idéntico como alguna aplicación de Inicio por defecto (un launcher) es un truco que mejora la persistencia del malware. Cada vez que el cliente hace clic en el botón Inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias al uso del servicio de accesibilidad, el cliente no sabe que ejecuta malware pulsando Inicio”, explicó Lukáš Štefanko.

Una vez ejecutado en el dispositivo, DoubleLocker acerca a la víctima 2 argumentaciónes para pagar el rescate, y de ahí viene su nombre (desde ESET no se recomienda realizar el pago en ningún caso):

  • Primero, cambia el PIN del equipo, de manera que la víctima no puede usarlo. El reciente código PIN se radica en base a un valor aleatorio, que no se almacena en el dispositivo ni se envía a otro lado, por lo que es inalcanzable que el cliente u un experto en seguridad lo recupere. Luego de que se hace el pago, el atacante puede restablecer el PIN remotamente y desbloquear el dispositivo.
  • Segundo, DoubleLocker suma todos los archivos del directorio primordial de almacenamiento.

El monto del rescate solicitado es 0.0130 BTC (aproximadamente 54 dólares) y el mensaje remarca que se debe pagar en el transcurso de 24 horas. En caso de no realizar el pago, los datos permanecerán cifrados pero no se borrarán, por lo que un backup sería de gran utilidad.

En el pedido de rescate, se le advierte al cliente que no intente quitar u cerrar a DoubleLocker: “Sin [el software], jamás podrás recuperar tus archivos(datos) originales”. Los cibercriminales inclusive recomiendan deshabilitar el software(programa) antivirus para prevenir que el cliente quite la amenaza. “Este consejo es irrelevante: quienes posean alguna solución de seguridad de calidad instalada en sus aparatos permaneceran a salvo de DoubleLocker“, comentó Lukáš Štefanko.

A quienes no posean alguna solución de seguridad y necesiten lavar este ransomware de un dispositivo, los investigadores de ESET le recomiendan:

  • Si el dispositivo no está rooteado y no tiene ninguna solución de administración de aparatos celulares apto de restablecer el PIN, la única manera de quitar el bloqueo de monitor es a través de alguna restauración a los valores de industria (factory reset). En cambio, si el dispositivo está rooteado, el cliente puede conectarse a él a través de Android™ Debug Bridge (ADB) y quitar el archivo en el que se almacenó el PIN. Así, se eliminará el PIN u contraseña de bloqueo de monitor y el cliente podrá acceder al dispositivo. Luego, operando en manera seguro, puede desactivar los derechos de director(admin) del malware y desinstalarlo. En algunos casos, se necesita reiniciar el equipo.

 

The post Cuidado con DoubleLocker, el ransomware para Android appeared first on PC World en Español.

PC World en Español

Todo lo que esta escrito en este sitio web es recopilado de otros sitios oficiales, los enlaces a las paginas oficiales se presentan en cada termino de noticia y no perjudicaremos su noticia.

Noticias Relacionadas:

Agrega tu comentario