¿Un Cryptolocker para Android?

Un nuevo ransomware está atacando a los usuarios de Android y puede estar relacionado con el infame Cryptolocker.

locker

¿Os recordáis cuando dijimos que el ransomware Cryptolocker era una mala noticia para nuestro equipo? Pues, un nuevo tipo de ransomware que afecta a los usuarios de Android podría, en última instancia, estar relacionado con el infame Cryptolocker, temido por su capacidad de cifrar archivos importantes del equipo y luego pedir un rescate para descifrarlos. En realidad esta evolución no debería sorprender, ya que el mercado de Android es muy amplio y cada día los cibercriminales crean más y nuevos tipos de malware dirigidos a los dispositivos Android.

locker

Con el término “ransomware” nos referimos a estos tipos de malware que bloquean el equipo infectado y piden algo a cambio para desbloquearlo. En algunos casos, el malware hace que el equipo se quede totalmente inutilizable. En otros, como con Cryptolocker, el ransomware cifra unos archivos muy importantes en el ordenador infectado y pide un rescate para entregarlos descifrados al usuario. Cryptolocker es muy claro con sus víctimas, mientras otros ransomware pueden esconderse bajo unos avisos, del tipo que se ha encontrado contenido ilegal en el equipo de la víctima y que hay que pagar una multa para desbloquear un ordenador (en caso contrario se avisarán las autoridades policiales).

Esta vez, un grupo de cibercriminales llamado Reveton, responsable de diferentes tipos de ransomware, está promocionando una muestra de malware parecido a un Cryptolocker capaz de infectar a los dispositivos móviles Android.

No se sabe cuánto este ransomware tiene que ver con Cryptolocker pero, quienquiera que lo haya creado, se está aprovechando de su éxito.

Un importante investigador de seguridad que trabaja bajo el seudónimo “Kafeine”, descubrió este malware y habló de él en su blog “Malware don’t need Coffee“. Se dio cuenta de que, cuando las víctimas de los dispositivos Android se conectaban a un dominio infectado con este tipo de malware, iban redireccionados a una página web pornográfica; a través  de unas técnicas de ingeniería social, los usuarios llegaban a acceder a un archivo de aplicación que contenía el malware.

Ésta es la buena noticia: para que el sistema quede infectado hay que instalar el malware, no es algo que se hace automáticamente; por esto, recomendamos instalar solo aplicaciones que proceden de la tienda de Google Play.

“Este locker es muy eficaz”, afirma Kaffeine hablando del malware. “Se puede volver a la pantalla inicial pero nada parece funcionar. Abrir un navegador o aplicaciones o entrar en el administrador de tareas, son todas actividades que llevan siempre al locker”.

El archivo de aplicación, que el usuario tiene que descargar para quedarse infectado con el ransomware, se esconde detrás en una aplicación porno. Si el usuario lanza la aplicación, aparece un pantallazo en que se le acusa de visualizar y difundir material pornográfico a través del teléfono.

En el mensaje se lee también que el usuario se podría enfrentar a una pena desde 5 hasta 11 años de cárcel si no paga una multa de 300 dólares a través de MoneyPak.

Este ransomware, “promocionado” por el grupo de cibercriminales Reveton, tiene variantes para más de 30 países, incluso Estados Unidos, Francia, Alemania, España, Reino Unido y Australia.

No se sabe cuánto este ransomware tiene que ver con Cryptolocker pero, quienquiera que lo haya  creado, se está aprovechando de su éxito. Es un fenómeno muy interesante, parece que los cibercriminales utilizan tácticas de negocio y técnicas de marketing para maximizar sus beneficios. Algo de que se podría hablar en otro post.

Recuerda que puedes descargar de forma gratuita Kaspersky Internet Security para Android.

Última actualización: Junto con la policía holandesa hemos desarrollado una web para que puedas recuperar los archivos víctima del ransomware CoinVault.

Consejos