Malware para Android env铆a SMS malignos a los contactos de sus v铆ctimas

ESET ha descubierto una nueva variante que utiliza la lista de contactos de las potenciales v铆ctimas para enviarles enlaces maliciosos mediante SMS.

El ransomware, denominado Android/Filecoder.C, se ha encontrado camuflado en diferentes temas relacionados con la pornograf铆a en la plataforma Reddit y, en menor medida, en el foro de desarrolladores XDA. Aunque el perfil utilizado para la difusi贸n del malware fue denunciado por ESET, a煤n se encuentra activo en Reddit.

鈥淟a campa帽a que hemos descubierto est谩 protagonizada por aficionados y eso se comprueba viendo las t茅cnicas de cifrado utilizadas, ya que son muy pobres. De hecho, cualquier archivo infectado puede recuperarse sin mayor problema鈥, comenta Lukas Stefanko, el responsable de ESET que lider贸 la investigaci贸n. 鈥淪in embargo, es probable que el delincuente intente mejorar este malware resolviendo los fallos existentes y que busque una forma m谩s avanzada de distribuci贸n, por lo que se podr铆a convertir en una amenaza muy peligrosa鈥.

La novedad que representa este malware es su forma de distribuci贸n. Antes de cifrar los archivos, env铆a un grupo de mensajes de texto a cada contacto de la agenda de la v铆ctima en el que se solicita pinchar sobre un enlace malicioso que lleva al archivo de instalaci贸n del ransomware. 鈥淓n teor铆a, esto deber铆a provocar una infecci贸n masiva, sobre todo teniendo en cuenta que el mensaje se puede encontrar hasta en 42 idiomas diferentes. Afortunadamente, est谩 muy mal traducido y la mayor铆a de los usuarios que lo reciben lo tratan como algo sospechoso鈥, continua Stefanko.

Adem谩s de su peculiar m茅todo de propagaci贸n, Android/Filecoder.C contiene algunas anomal铆as en su cifrado. Por ejemplo, excluye archivos de m谩s de 50MB e im谩genes de menos de 150kb. Por otro lado, su listado de 鈥渢ipos de archivo para cifrar鈥 contiene muchas entradas que no se corresponden con archivos de Android y, sin embargo, le faltan extensiones t铆picas de este sistema operativo. 鈥淧arece ser que los delincuentes copiaron la lista del ransomware Wannacry鈥, observa Stefanko.

Otros elementos poco habituales de esta variante de malware incluyen el hecho de que no se bloquea la pantalla del usuario infectado y de que no se trate de un conjunto de valores preestablecidos, sino que el rescate que se demanda se genera de forma din谩mica al utilizar la identificaci贸n del usuario. Esta cantidad suele oscilar entre los 0.01 y los 0.02 bitcoins.

ESET recuerda que los dispositivos que cuentan con ESET Mobile Security est谩n protegidos de esta amenaza: 鈥淐uando llega el SMS con el enlace malicioso, los usuarios reciben una alerta. Si la ignoran y aun as铆 descargan el contenido del enlace, ESET bloquea el malware鈥. Adem谩s, ESET recomienda revisar los siguientes puntos para evitar ser v铆ctima de un ataque de ransomware en dispositivos Android:

— Actualizar los dispositivos de forma autom谩tica.

— Descargar solamente aplicaciones desde la tienda Google Play o de distribuidores conocidos. Nadie est谩 a salvo de un ataque, pero es m谩s f谩cil ser infectado si no se utilizan apps oficiales.

— Antes de instalar una aplicaci贸n, leer las puntuaciones y los comentarios de otros usuarios.

— Observar los permisos que solicita la app. Si sospechamos de ellos, es mejor no descargarla.

— Utilizar una soluci贸n de seguridad espec铆fica para el m贸vil.

M谩s informaci贸n en el sitio de ESET.聽

Ilustraci贸n (c) Bloomua v铆a Shutterstock


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.