-
El vector inicial del ransomware fue plantado en foros de Reddit y desarrolladores Android.
-
El virus genera direcciones de bitcoin de forma dinรกmica para dificultar el rastreo.
Un nuevo virus ransomware, diseรฑado para dispositivos Android, se ha estado propagando a travรฉs de mensajerรญa de texto o SMS, para secuestrar la data de los mรณviles y cobrar un rescate en bitcoin. El anรกlisis del software malicioso ha sido descrito por los investigadores de la firma de ciberseguridad Eset, en una publicaciรณn de su blog oficial, este lunes 29 de julio.
La publicaciรณn, firmada por el investigador de malware Lukas Stefanko, seรฑalรณ que se trata de una nueva familia de ransomware para mรณviles identificada como Android / Filecoder.C. Segรบn informรณ, el malware ha estado activo por lo menos desde el pasado 12 de julio.
La investigaciรณn determinรณ que el vector inicial de infecciรณn fue distribuido a travรฉs de mensajes maliciosos en red social Reddit y el foro de desarrolladores de Android โXDA Developersโ. Los atacantes atraen a las vรญctimas usando como seรฑuelo publicaciones relacionadas con la pornografรญa, asรญ como una supuesta aplicaciรณn a la que denominan โsex simulatorโ.
Una vez que el ransomware infecta un dispositivo Android, procede a enviar un SMS a toda la libreta de contactos, con una carga maliciosa que encripta la mayorรญa de los datos del telรฉfono inteligente y procede a exigir un rescate en bitcoin. Para motivar a los destinatarios a abrir el enlace proporcionado, el SMS se personaliza con sus nombres y les advierte que sus fotos se estรกn utilizando en un โjuego de simulador de sexoโ.
El hacker รฉtico John Opdenakker declarรณ a un portal informativo que el mรฉtodo de propagaciรณn de este ransomware โlo hace peligrosoโ. En su opiniรณn, se puede extender rรกpidamente, ya que โes mรกs probable que las personas se engaรฑen al descargar la aplicaciรณn maliciosa cuando llega el enlace de alguien en quien confรญanโ.
Ademรกs, segรบn Stefanko, el ransonware contiene una plantilla de SMS en 42 diferentes idiomas, para cubrir la mayorรญa de las posibilidades.
El ransonware pide un rescate de 0,01 bitcoins, cifra que se completa con los seis dรญgitos del ID de la vรญctima. Esto implica que el equivalente en dรณlares del rescate puede variar entre los USD 94 y los USD 188 aproximadamente, al precio actual de bitcoin.
Una vez que el usuario paga y notifica al atacante, recibe la clave de desencriptaciรณn de sus datos. Eset descubriรณ que el atacante incluyรณ en el ransomware la posibilidad de proporcionar direcciones de carteras de bitcoin de forma dinรกmica, para dificultar su rastreo. โEl atacante puede cambiarlas en cualquier momento, utilizando el servicio gratuito Pastebinโ, dice el informe.
No obstante, el investigador aclarรณ que es posible desencriptar los archivos sin pagar el rescate, ya que el cifrado empleado por los atacantes es defectuoso. โDebido al valor de clave codificada que se usa para cifrar la clave privada, serรญa posible descifrar archivos sin pagar el rescate cambiando el algoritmo de cifrado a un algoritmo de descifradoโ, explicรณ Stefanko.
Lamentablemente, no todas las vรญctimas buscarรกn y accederรกn a esta informaciรณn y terminarรกn por pagar el monto en bitcoin, antes que perder los datos de sus telรฉfonos mรณviles.
Recientemente, dos ciudades del estado de Florida, en Estados Unidos, fueron vรญctimas de ataques cibernรฉticos con ransomware. Las autoridades de la ciudad de Lake City se vieron obligadas a pagar 42 BTC para recuperar el control de sus sistemas, despuรฉs de 15 dรญas de infructuosos intentos por acceder a ellos tras el hackeo. Lo mismo sucediรณ en la ciudad de Riviera Beach, la cual tuvo que pagar 65 BTC a los atacantes que devolvieran el acceso al correo electrรณnico de ayuntamiento y al sistema de llamadas de emergencia.
