Página de inicio » Tecnología » ​Códigos maliciosos que secuestran información, ahora también para Android

​Códigos maliciosos que secuestran información, ahora también para Android

Una vez más, ambulance compartimos con ustedes el reporte trimestral de amenazas y tendenciascorrespondientes a abril, mayo y junio, meses que se caracterizaron por el descubrimiento y análisis de diversos casos de ransomwareTal como lo habíamos anticipado el año pasado en nuestro informe Tendencias 2014: el desafío de la privacidad en Internet, esta metodología de ataque está consolidándose en América Latina y los últimos casos tuvieron la particularidad de estar dirigidos a usuarios de dispositivos móviles.

Parte de la evolución de estos códigos maliciosos, que solicitan un rescate a cambio de la información que borran o cifran, radica precisamente en el uso de algoritmos cada vez más complejos que imposibilitan o dificultan la recuperación de los archivos.

Así, hemos visto en los últimos meses una variedad de casos que a continuación repasaremos en este resumen trimestral de amenazas.

Simplocker

Durante junio, ESET ha analizado un troyano denominado Android/Simplocker que escanea latarjeta SD de un dispositivo con Android en busca de ciertos tipos de archivos, los cifra, y exige el pago de un rescate para descifrarlos. Constituye el primer malware de la familia Filecoderdestinado al sistema operativo de Google, y está activado en Tor.

Simplocker_infografia
Inicialmente, Simplocker estaba dirigido a usuarios de Rusia y Ucrania, dato que se obtuvo por el mensaje que el equipo muestra una vez que fue infectado, escrito en ruso, aunque el rescate se pedía en grivnas ucranianas. Luego, se observaron nuevas variantes que pedían también rublos rusos.

El sistema de alerta temprana ESET LiveGrid® demostró que Android/Simplocker utiliza varios vectores de infección. Los “típicos” giran en torno a la pornografía en Internet o a los juegos más populares como Grand Theft Auto: San Andreas, pero también hace uso de un componentedescargador de troyanos (TrojanDownloader). Uno de los que analizamos, detectado por ESET como Android/TrojanDownloader.FakeApp, intentaba engañar al usuario para que descargue unfalso reproductor de vídeo, que, como habrás adivinado, se trataba del troyano Android/Simplocker.

El Virus de la Policía, ahora para Android

De entre todas las familias del malware conocido como “Virus de la Policía”, Reveton siempre fue de las más activas e innovadoras a la hora de preparar nuevas variantes. En una de las últimas, se puede observar cómo el acceso a una de las webs maliciosas con un dispositivo Android esredirigido a una web con contenido pornográfico que intentará descargar un fichero .apk (aplicación de Android) en el sistema.

Este punto es interesante puesto que, al contrario que sucede con las versiones de esteransomware para sistemas Windows, es necesario que el usuario acepte la instalación de la aplicación (y sus permisos) para que este malware pueda activarse en el dispositivo. Una curiosidad de esta amenaza es que sus pantallas de bloqueo presentan diferentes diseños y varían dependiendo de la IP desde la cual se hace la conexión.

virus-policia

Equipos iPhone bloqueados remotamente

Usuarios de dispositivos Apple como por ejemplo iPhone, iPod e iPad que utilizan iOS, principalmente de Australia, han sido víctimas de un ransomware que secuestra sus equipos y pide un rescate en dólares.

El ataque compromete el Apple ID de los usuarios para luego utilizar la función Find My iPhone ybloquear remotamente el dispositivo. Cabe destacar que este no es un caso tradicional deransomware en el que se cifra el dispositivo y luego se pide un rescate para brindar la clave de descifrado, y es por eso que hablamos de “ransomware” en Apple.

Lo que sucede en este caso es que se aprovecha con fines maliciosos la funcionalidad Find My iPhone que permite localizar cualquier dispositivo Apple asociado a la cuenta de iCloud. Entonces, una vez dentro del panel de iCloud, el atacante puede configurar el mensaje que le llegará a quien tenga el dispositivo para que se bloquee y quede inutilizado.

Un caso de impacto: empresa argentina paga 2.500 dólares por rescatar sus archivos

La Barranca SRL, un grupo propietario de estaciones de servicio en Río Cuarto y otras localidades de la provincia argentina de Córdoba, denunció ante la Justicia cordobesa que fue víctima de una extorsión informática. Según declararon, un cibercriminal extranjero bajo el seudónimo de “Jack Williams” cifró todos los archivos de la compañía y tuvieron que pagarle 2.500 dólares para recibir las claves que les permitieron desbloquear sus datos y registros contables.

Esto nos muestra cómo el ransomware ha comenzado a instalarse en la región y cómo los cibercriminales aprovechan este tipo de ataque para obtener rédito económico, motivo por el cual nos pareció destacarlo en este cierre de trimestre. Nuestros sistemas estadísticos muestran que lasdetecciones de esta amenaza han crecido en los últimos dos años. Los medios de propagación más comunes son a través de sitios maliciosos (ataques drive-by-download), utilizando otros troyanos (Downloader o Backdoor) o instalación manual del atacante infiltrándose por Remote Desktop Protocol (más común para entornos corporativos).

Heartbleed, otra amenaza destacada

oleg-plissSi bien esta variedad de casos de ransomware fue la protagonista del trimestre, nos parece válido recordar que en este período también nos encontramos con Heartbleed, la mundialmente conocidafalla en OpenSSL que dejó al descubierto información sensible de diversos sitios. Un mes después de que se diera a conocer, más de 300 mil servidores seguían siendo vulnerables a esta falla.

Para explicar mejor de qué se trata, hemos preparado el siguiente video:

Ver también

Navegando en el marketing digital: Cómo superar los retos actuales

En el cambiante panorama del marketing digital, los especialistas enfrentan una serie de desafíos que …