Uno de los tipos de aplicaciones más populares en Google Play son los ahorradores de energía de dispositivos móviles. Así que los hackers han aprovechado esto para disfrazar un ransomware de Android como una de estas herramientas, además, logrando la hazaña de traspasar los controles de seguridad de Google.
Como es de dominio popular, los teléfonos inteligentes no se caracterizan por la duración de su batería, cuyo tiempo de carga puede llegar a ser risible dependiendo del dispositivo. De modo que las aplicaciones para ahorrar batería, que usualmente se encargan sobre todo de atenuar el brillo de la pantalla y cerrar apps en segundo plano, son casi obligatorias en cada teléfono Android. ¿Y qué mejor proveedor que el oficial, Google Play? Pues parece que hay que pensarlo dos veces.
Llamado EnergyRescue, según indicó la compañía de ciberseguridad ESET en sus tendencias de ransomware en Android este 2017, es uno de los primeros virus en su tipo que ha logrado traspasar los controles de seguridad de Google Play y posicionarse en la tienda oficial como una trampa tentadora para sus víctimas. El rescate que suele solicitarse tras bloquear la pantalla es de nada menos que 0.2 BTC, es decir, unos $250 al cambio actual.
Por fortuna no se trata de ransomware criptográfico, sino que sólo bloquea la pantalla. Recordemos que en Android, a diferencia de en los dispositivos de escritorio, existen dos tipos de ransomware: los que sólo bloquean la pantalla (lock-screen) y los que realmente cifran la memoria del dispositivo con criptografía avanzada. En el primer caso, que es donde entra el EnergyRescue, no debe pagarse el rescate, pues es posible recuperar sin problemas el dispositivo y sus archivos reiniciando en modo seguro.
El mal truco del EnergyRescue es que, además, es capaz de extraer y enviar todos los mensajes de texto y archivos del dispositivo infectado, así como de actualizarse a sí mismo y activar derechos de administrador. En este caso, tras reiniciar en modo seguro, deben revocarse estos derechos en la configuración antes de poder desinstalarlo.
Otra particularidad de este ransomware es que, entre todos los enumerados por ESET, es el único que cobra el rescate en bitcoins. Entre los demás figuran los falsos antivirus, uno de los cuales viene incluido como disfraz de una app de Pornhub; los llamados ‘scarewares’, que asustan a la víctima con anuncios del FBI, e inclusive uno que fue desarrollado por un grupo de adolescentes chinos. La gran mayoría ha optado por cobrar el rescate con tarjetas prepagadas en dólares, en lugar de bitcoins. Esto sin duda nos dice que las criptomonedas como método de pago son menos usuales en las plataformas móviles, al menos en lo que actividades ilegales se refiere.
Sin embargo, las infecciones de ransomware van en aumento para Android, debido a que es cada vez más frecuente guardar archivos valiosos en estos dispositivos.
Con cada vez más consumidores cambiando de PC a móvil, los dispositivos se utilizan para almacenar cantidades crecientes de datos valiosos, por lo que el ransomware para Android cada vez vale más la pena para los atacantes. Según ESET LiveGrid®, el número de detecciones de ransomware de Android ha crecido en comparaciones interanuales en más del 50%, con el mayor repunte en la primera mitad de 2016.
ESET
Para proteger los dispositivos de esta clase de malware, especialmente cuando se presenta en su versión criptográfica, donde los archivos pueden estar cifrados sin remedio, se recomienda descargar desde sus páginas oficiales (no sólo Google Play) todas las aplicaciones, instalar una buena versión de antivirus para Android y respaldar todos los archivos. De este modo, en el peor de los casos, podrá formatearse el teléfono sin demasiados miramientos.
3.5