Esta familia de archivos maliciosos se distribuye a través de mensajes de texto enviados a todos los contactos de la víctima.
Android se ha convertido en el principal objetivo de los ciberdelincuentes. El día de ayer, la empresa de seguridad ESET detectó un nuevo ransomware que se propaga por mensajes de texto tradicionales.
Esto sucede después de dos años de la caída de DoubleLocker, otro programa malicioso que aprovechaba la accesibilidad de Android para cifrar la información del móvil y bloquear el equipo.
Android/Filecoder.C, como se nombró al ransomware, se distribuyó por primera vez el 12 de julio de este año a través de publicaciones en los foros en línea Reddit y XDA Developers. Aunque aún tiene fallas en la ejecución y en el cifrado de datos, ESET asegura que, de corregirlo, puede ser una seria amenaza.
Distribución
La campaña se basa en dos dominios controlados por los atacantes que contienen archivos maliciosos para descargar. En las primeras publicaciones en la red, se utilizaron temas relacionados con la pornografía y tecnología como señuelos para abrir el link o el código QR incluidos en los mensajes.
En un enlace que se compartió en Reddit, los atacantes utilizaron el acortador de URL bit.ly. Dicha liga se creó el 11 de junio de 2019 y hasta el 31 de julio había alcanzado 59 clics provenientes de diferentes fuentes y países.
Propagación
Filecoder se encarga de distribuir enlaces sobre sí mismo vía mensajes SMS a los contactos en el equipo de la primera víctima. Estos incluyen el texto “¿Cómo pueden poner sus fotos en esta aplicación? Creo que necesito decirles…” y un link con el enlace malicioso.
Para maximizar su alcance, la plantilla del mensaje está creada en 42 idiomas diferentes y antes de enviarse, busca la configuración de idioma del teléfono de la víctima. El malware también se personaliza incluyendo el nombre del contacto a quien se está mandando.
Funcionalidad
Al hacer clic en el enlace, la aplicación debe instalarse manualmente, y una vez terminado el proceso, se muestra un juego en línea de simulación de sexo. Su propósito principal es la comunicación con Mando y Control (C&C por sus siglas en inglés) para distribuir mensajes maliciosos e implementar el mecanismo de cifrado/descifrado.
Una vez enviados los mensajes, el ransomware pasa por los archivos del almacenamiento accesible, excepto los del sistema y cifra la mayoría de ellos. Después despliega una nota de rescate en inglés con las instrucciones para recuperar los documentos perdidos.
El rescate solicitado es una cantidad de bitcoins equivalente a entre 94 y 188 dólares y una vez realizado el pago, se genera una clave para insertar en el mensaje de rescate y liberar el teléfono.
Para tu protección
Mantenerse seguro requiere tomar medidas a nivel personal:
- Mantén tus dispositivos actualizados, configúralos a manera de que las versiones más recientes de software y parches de seguridad se instalen automáticamente.
- Descarga aplicaciones sólo de Google Play o de tiendas en línea acreditadas; aunque esto no garantiza la inexistencia de apps maliciosas, tendrás mayor posibilidad de evitarlas.
- Antes de instalar una aplicación, verifica su calificación y los comentarios, sobre todo los negativos ya que suelen provenir de usuarios legítimos.
- Pon atención en los permisos solicitados por la app. Si te parecen inadecuados para la función del programa, no le permitas terminar de instalarse.
- Usa antivirus acreditados para proteger tu dispositivo móvil.
Te puede interesar también:
““En palabras de… GDATA: un nuevo malware para Android cada siete segundos””
“Okrum, malware que se activa al dar tres clics con el mouse”
