Ransomware es un tipo de malware que bloquea el uso del dispositivo que infecta solicitando al usuario un pago a cambio de “liberarlo” y que éste pueda recuperar el control sobre su dispositivo. Hasta hace poco, ransomware se dirigía únicamente a PCs pero ha cambiado de estrategia y está comenzando a afectar a móviles.
“Las amenazas ransomware para móviles han experimentado un fuerte incremento en estos últimos meses – desde que surgió la primera variante para dispositivos iOS a la primera versión para Android que cifra los datos del teléfono,” indicó Ruchna Nigam, Investigador de Amenazas en FortiGuard Labs de Fortinet.
Los cuatro ransomware para móvil detectados por FortiGuad Labs son:
Simplocker, descubierto en junio de 2014, se presenta con forma de aplicación de troyano como un Flash player, por ejemplo. Se trata del primer ransomware “real” para Android al cifrar los archivos (con extensiones “jpeg”, “jpg”, “png”, “bmp”, “gif”, “pdf”, “doc”, “docx”, “txt”, “avi”, “mkv”, “3gp” y “mp4”) que tiene el teléfono. El malware bloquea el móvil infectado y muestra en la pantalla un mensaje advirtiendo al usuario que su teléfono está bloqueado y exigiendo un pago por su liberación. Incluso después de la desinstalación de la aplicación en modo seguro, es necesario descifrar los archivos para poder ser leídos.
Cryptolocker para móvil, identificado en mayo de 2014, se camufla como una falsa aplicación para descarga de vídeo BaDoink. Si bien este malware no causa ningún daño al teléfono móvil, sí que muestra una pantalla de bloqueo que dice proceder de la policía, adaptada a la localización geográfica de donde se encuentre el móvil. La pantalla bloqueada se muestra cada cinco segundos, inhabilitando prácticamente el teléfono si no se desinstala el malware.
iCloud ‘Oleg Pliss’, detectado en mayo de 2014, se considera el primer caso de ransomware para dispositivos Apple. Estos incidentes no pueden ser atribuidos a un malware en concreto sino a diferentes cuentas iCloud comprometidas en combinación con ingeniería social. Los atacantes aprovechan un exploit de Find My iPhone, iPad, y Mac junto con las contraseñas recicladas procedentes de brechas de seguridad. El ataque, sin embargo, no funciona si el dispositivo tiene configurado un código de bloqueo. El malware puede potencialmente filtrar el calendario y la información de contacto y permitir al atacante eliminar toda la información del teléfono.
FakeDefend, descubierto en julio de 2013, es un ransomware para teléfonos Android. Se camufla como una aplicación de falso antivirus (AV) y solicita al usuario el pago por una suscripción a dicha aplicación tras desplegar un falso escaneo y mostrar un listado de “infecciones” detectadas en el teléfono. Si el usuario decide pagar, se filtran los detalles de la tarjeta de crédito al servidor del atacante en texto plano. Estos datos los puede utilizar el criminal para sus transacciones.
“A medida que aumenta la adopción de dispositivos móviles, los hackers han encontrado una nueva manera de lucrarse con estos terminales, más allá de los PCs,” confirmó Nigam. “El usuario debe ser consciente de la importancia de la seguridad, y tomar medidas para evitar la sustracción de dinero o datos personales a través de sus móviles.”
El experto en cibercrimen ofrece los siguientes consejos para luchar contra el ransomware :
-
Instalar un software antivirus en el móvil. Debería prevenir o al menos alertarnos contra la instalación de aplicaciones infectadas.
-
Instalar siempre aplicaciones de fuentes y desarrolladores fiables. En caso de duda, los comentarios de otros usuarios pueden ayudarnos a elegir las aplicaciones legítimas.
- Los usuarios de iPhone e iPad deberían activar y configurar un código de claves en su dispositivo. Al ser obligatorio utilizar la clave para activar la funcionalidad de Find My iPhone, no nos afectará el ransomware iCloud ‘Oleg Pliss’.