CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

25/08/2014

Android Locker: un nou ransomware que busca suplantar antivirus

Android_malware Quan fa a penes dos mesos comencem a parlar de com els delinqüents estaven migrant el programari maliciós de tipus ransomware (segrest de dispositiu) a dispositius Android, ja prevéiem que la seua evolució seria ràpida. No obstant això, esta rapidesa amb què han anat adaptant les seues amenaces per a pc a smartphones amb Android ens ha sorprés.

Antecedents i situació actual
En a penes dos mesos hem passat de veure proves de concepte, limitades a regions en concret (Rússia i Ucraïna), a veure com des de les seues primeres variants Simplocker evolucionava per a propagar-se a través d’aplicacions de descàrrega i després tornava a evolucionar i ja començava a fer-se passar per cossos policials com el FBI i ampliava el seu rang d’acció.

A hores d’ara, el ransomware per a Android és ja una realitat i comencem a veure nombroses famílies de programari maliciós semblants a Simplocker i diversos casos repartits per distints països, ajudat per la traducció d’esta amenaça a diversos idiomes entre els quals trobem l’espanyol.

Una d’estes noves amenaces és AndroidLocker, ransomware del qual tenim informació gràcies a la tasca d’investigadors com Kafeine, qui ha analitzat este programari maliciós amb tot luxe de detalls. De la seua investigació i de les mostres analitzades en el nostre laboratori sabem que entre les característiques d’AndroidLocker es troben:

Mètodes de propagació
Com en versions recents de SimpLocker, AndroidLocker es fa passar per aplicacions legítimes descarregades des d’enllaços maliciosos controlats pels delinqüents. Estos enllaços no tenen per què pertànyer a contingut pornogràfic o jocs per a Android com vam veure en analitzar altres casos semblants, i s’han arribat a detectar enllaços maliciosos inclús en el servici d’anuncis de Yahoo.

Tal com veiem en les imatges anteriors, el primer símptoma que alguna cosa no funciona bé és el missatge d’alerta que es rep en el dispositiu mòbil que indica que el sistema està infectat. Este missatge és només una finestra emergent que pretén espantar i redirigir a la descàrrega de l’aplicació maliciosa.

Suplantant aplicacions
En les primeres mostres d’AndroidLocker analitzades vam veure com els delinqüents pretenien enganyar fent passar l’aplicació maliciosa per la d’un instal·lador de Flash Player. Esta aplicació sol·licita una sèrie de permisos que podem comprovar a continuació:

No obstant això, en les últimes variants els creadors d’esta amenaça han començat a utilitzar el nom de l’antivirus Norton Internet Security per a Android (semblant al que també hem vist recentment amb les solucions de seguretat d’ESET), quelcom que enllaça perfectament amb els falsos missatges d’alerta de virus que es mostren prèviament a la descàrrega d’esta falsa aplicació. Si observem els permisos, estos són els mateixos que sol·licitava la falsa aplicació de Flash.

A més, AndroidLocker sol·licita permís per a convertir-se en administrador del dispositiu i prendre així el control del sistema i dificultar la desinstal·lació. Podríem pensar que, arribats a este punt, s’haurien d’encendre totes les alarmes ja que este permís només ho sol·liciten aplicacions molt específiques.

No obstant això, el fet de suplantar una aplicació de seguretat que bona reputació fa que molts usuaris confien plenament en esta i els donen tots els permisos per tal d’eliminar les falses infeccions que tenen en els seus dispositius.

Després d’instal·lar l’aplicació, esta realitza una falsa anàlisi en el nostre dispositiu que tirarà un nombre d’infeccions falses per a provocar encara més alarma en l’usuari. De nou, els delinqüents juguen amb la por i l’ús il·lícit d’una marca per a aconseguir el seu objectiu.

Pot llegir l’article complet en We Live Security.

 

Font: We Live Security

CSIRT-CV