CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

25/08/2014

Android Locker: un nuevo ransomware que busca suplantar antivirus

Android_malware Cuando hace apenas dos meses empezamos a hablar de cómo los delincuentes estaban migrando el malware de tipo ransomware (secuestro de dispositivo) a dispositivos Android, ya preveíamos que su evolución sería rápida. No obstante, esta rapidez con la que han ido adaptando sus amenazas para pc a smartphones con Android nos ha sorprendido.

Antecedentes y situación actual
En apenas dos meses hemos pasado de ver pruebas de concepto, limitadas a regiones en concreto (Rusia y Ucrania), a ver cómo desde sus primeras variantes Simplocker evolucionaba para propagarse a través de aplicaciones de descarga y luego volvía a evolucionar y ya empezaba a hacerse pasar por cuerpos policiales como el FBI y ampliaba su rango de acción.

A día de hoy, el ransomware para Android es ya una realidad y empezamos a ver numerosas familias de malware similares a Simplocker y varios casos repartidos por distintos países, ayudado por la traducción de esta amenaza a varios idiomas entre los que encontramos el español.

Una de estas nuevas amenazas es AndroidLocker, ransomware del que tenemos información gracias a la labor de investigadores como Kafeine, quien ha analizado este malware con todo lujo de detalles. De su investigación y de las muestras analizadas en nuestro laboratorio sabemos que entre las características de Andorid Locker se encuentran:

Métodos de propagación
Como en versiones recientes de SimpLocker, AndroidLocker se hace pasar por aplicaciones legítimas descargadas desde enlaces maliciosos controlados por los delincuentes. Estos enlaces no tienen por qué pertenecer a contenido pornográfico o juegos para Android como vimos al analizar otros casos similares, y se han llegado a detectar enlaces maliciosos incluso en el servicio de anuncios de Yahoo.

Tal y como vemos en las imágenes anteriores, el primer síntoma de que algo no anda bien es el mensaje de alerta que se recibe en el dispositivo móvil indicando que el sistema está infectado. Este mensaje es solo una ventana emergente que pretende asustar y redirigir a la descarga de la aplicación maliciosa.

Suplantando aplicaciones
En las primeras muestras de AndroidLocker analizadas vimos como los delincuentes pretendían engañar haciendo pasar la aplicación maliciosa por la de un instalador de Flash Player. Esta aplicación solicita una serie de permisos que podemos comprobar a continuación:

No obstante, en las últimas variantes los creadores de esta amenaza han empezado a utilizar el nombre del antivirus Norton Internet Security para Android (similar a lo que también hemos visto recientemente con las soluciones de seguridad de ESET), algo que enlaza perfectamente con los falsos mensajes de alerta de virus que se muestran previamente a la descarga de esta falsa aplicación. Si observamos los permisos, estos son los mismos que solicitaba la falsa aplicación de Flash.

Además, AndroidLocker solicita permiso para convertirse en administrador del dispositivo y tomar así el control del sistema y dificultando su desinstalación. Podríamos pensar que, llegados a este punto, se deberían encender todas las alarmas puesto que este permiso solo lo solicitan aplicaciones muy específicas.

Sin embargo, el hecho de suplantar una aplicación de seguridad que cuenta con buena reputación hace que no pocos usuarios confíen plenamente en ella y les den todos los permisos con tal de eliminar las falsas infecciones que tienen en sus dispositivos.

Tras instalar la aplicación, esta realiza un falso análisis en nuestro dispositivo que arrojará un número de infecciones falsas para provocar aún más alarma en el usuario. De nuevo, los delincuentes juegan con el miedo y el uso ilícito de una marca para conseguir su objetivo.

Puede leer el artículo completo en We Live Security.

Fuente: We Live Security

CSIRT-CV