Hechos clave:
-
El vector inicial del ransomware fue plantado en foros de Reddit y desarrolladores Android.
-
El virus genera direcciones de bitcoin de forma dinámica para dificultar el rastreo.
Un nuevo virus ransomware, diseñado para dispositivos Android, se ha estado propagando a través de mensajería de texto o SMS, para secuestrar la data de los móviles y cobrar un rescate en bitcoin. El análisis del software malicioso ha sido descrito por los investigadores de la firma de ciberseguridad Eset, en una publicación de su blog oficial, este lunes 29 de julio.
La publicación, firmada por el investigador de malware Lukas Stefanko, señaló que se trata de una nueva familia de ransomware para móviles identificada como Android / Filecoder.C. Según informó, el malware ha estado activo por lo menos desde el pasado 12 de julio.
La investigación determinó que el vector inicial de infección fue distribuido a través de mensajes maliciosos en red social Reddit y el foro de desarrolladores de Android “XDA Developers”. Los atacantes atraen a las víctimas usando como señuelo publicaciones relacionadas con la pornografía, así como una supuesta aplicación a la que denominan “sex simulator”.
Una vez que el ransomware infecta un dispositivo Android, procede a enviar un SMS a toda la libreta de contactos, con una carga maliciosa que encripta la mayoría de los datos del teléfono inteligente y procede a exigir un rescate en bitcoin. Para motivar a los destinatarios a abrir el enlace proporcionado, el SMS se personaliza con sus nombres y les advierte que sus fotos se están utilizando en un “juego de simulador de sexo”.
El hacker ético John Opdenakker declaró a un portal informativo que el método de propagación de este ransomware “lo hace peligroso”. En su opinión, se puede extender rápidamente, ya que “es más probable que las personas se engañen al descargar la aplicación maliciosa cuando llega el enlace de alguien en quien confían”.
Además, según Stefanko, el ransonware contiene una plantilla de SMS en 42 diferentes idiomas, para cubrir la mayoría de las posibilidades.
El ransonware pide un rescate de 0,01 bitcoins, cifra que se completa con los seis dígitos del ID de la víctima. Esto implica que el equivalente en dólares del rescate puede variar entre los USD 94 y los USD 188 aproximadamente, al precio actual de bitcoin.
Una vez que el usuario paga y notifica al atacante, recibe la clave de desencriptación de sus datos. Eset descubrió que el atacante incluyó en el ransomware la posibilidad de proporcionar direcciones de carteras de bitcoin de forma dinámica, para dificultar su rastreo. “El atacante puede cambiarlas en cualquier momento, utilizando el servicio gratuito Pastebin”, dice el informe.
No obstante, el investigador aclaró que es posible desencriptar los archivos sin pagar el rescate, ya que el cifrado empleado por los atacantes es defectuoso. “Debido al valor de clave codificada que se usa para cifrar la clave privada, sería posible descifrar archivos sin pagar el rescate cambiando el algoritmo de cifrado a un algoritmo de descifrado”, explicó Stefanko.
Lamentablemente, no todas las víctimas buscarán y accederán a esta información y terminarán por pagar el monto en bitcoin, antes que perder los datos de sus teléfonos móviles.
Recientemente, dos ciudades del estado de Florida, en Estados Unidos, fueron víctimas de ataques cibernéticos con ransomware. Las autoridades de la ciudad de Lake City se vieron obligadas a pagar 42 BTC para recuperar el control de sus sistemas, después de 15 días de infructuosos intentos por acceder a ellos tras el hackeo. Lo mismo sucedió en la ciudad de Riviera Beach, la cual tuvo que pagar 65 BTC a los atacantes que devolvieran el acceso al correo electrónico de ayuntamiento y al sistema de llamadas de emergencia.