Ransomware de Android suelto, pide tarjeta de regalo de iTunes como rescate

Ransomware Android Dogspectus se instala silenciosamente en tu smartphone y exige un rescate de $200 en tarjeta de regalo de iTunes

Los investigadores de seguridad de Blue Coat han descubierto una nueva campaña de distribución de malware móvil que propaga un ransomware de Android llamado Dogspectus, que no requiere ningún tipo de interacción del usuario para infectar los dispositivos con ransomware.

Los expertos de Blue Coat Labs detectaron la amenaza por primera vez después de que una tableta que ejecutaba CyanogenMod 10 / Android 4.2.2 viera un anuncio que servía silenciosamente cargas maliciosas sin ninguna interacción del usuario.

La infección ocurre cuando los usuarios visitan un sitio web que contiene código JavaScript contaminado. Blue Coat Labs dice que el código malicioso se entrega a través de anuncios maliciosos (malvertising). El código malicioso secuestra anuncios móviles para estafar tarjetas de regalo, bloquea el dispositivo en un estado que permite solo a las víctimas realizar el pago.

Los investigadores de seguridad de Zimperium han confirmado que el código malicioso contenía un exploit filtrado el año pasado en la violación de datos de Hacking Team.

El ataque es muy sofisticado y significa la evolución del ataque clásico de malvertising, como explica a continuación Andrew Brandt de Blue Coat.

“Esta es la primera vez, hasta donde yo sé; un kit de exploits ha podido instalar con éxito aplicaciones maliciosas en un dispositivo móvil sin ninguna interacción del usuario por parte de la víctima. Durante el ataque, el dispositivo no mostró el cuadro de diálogo normal de ‘permisos de aplicación’ que normalmente aparece antes de la instalación de una aplicación de Android”, escribió Brandt.

Después de un análisis más detallado con la ayuda de investigadores de Zimperium, se reveló que el exploit aprovecha una vulnerabilidad en la biblioteca libxslt de Android que permite a los atacantes descargar un binario ELF de Linux llamado module.so en el dispositivo.

Este binario utiliza el exploit de Android conocido como Towelroot para obtener privilegios de root en el dispositivo. La herramienta fue lanzada en 2014 por el popular hacker George Hotz, y es capaz de rootear dispositivos Android explotando una falla conocida de Linux (CVE-2014-3153).

Una vez que se confirma el acceso root, module.so también descargará un APK adicional de Android (Paquete de Aplicación de Android), que contiene el código del ransomware. El atacante puede entonces instalar silenciosamente el ransomware con acceso root en mano y sin solicitar ningún permiso al usuario.

El nombre de este troyano ransomware es Dogspectus o Cyber.Police y fue detectado por primera vez en diciembre de 2014. En comparación con el ransomware basado en escritorio que cifra archivos, esta aplicación no cifra los archivos del usuario. En su lugar, muestra una advertencia falsa, supuestamente de agencias de aplicación de la ley, diciendo que se detectó actividad ilegal en el dispositivo y que el propietario necesita pagar una multa.

Blue Coat Labs dice que las víctimas infectadas envían tráfico no cifrado desde su dispositivo a un servidor central de comando y control. La compañía pudo rastrear el tráfico proveniente de 224 modelos diferentes de dispositivos Android (tabletas, smartphones), utilizando versiones de Android entre 4.0.3 y 4.4.4.

La versión más baja de Android oficialmente soportada es 4.4.4, lo que significa que los atacantes están apuntando a usuarios que no han podido o no pueden actualizar sus dispositivos.

“El hecho de que algunos de estos dispositivos se sabe que no son vulnerables específicamente al exploit de libxlst de Hacking Team significa que se pueden haber utilizado diferentes exploits para infectar algunos de estos [otros] dispositivos móviles”, señala Brandt.

“El ransomware no amenaza con (o realmente) cifrar los datos de la víctima. Más bien, el dispositivo se mantiene en un estado bloqueado donde no se puede usar para nada más que entregar el pago a los criminales en forma de dos códigos de tarjeta de regalo de $100 de Apple iTunes”, escribió Brandt en una nota de investigación.

Las víctimas que optan por pagar el rescate para desbloquear su teléfono son dirigidas a pagar una “multa” entre $100 y $200 a una “cuenta del tesoro” mediante la presentación de códigos de tarjeta de regalo de iTunes.

Sin embargo, Brandt dijo que la forma más fácil y efectiva de eliminar el ransomware es restaurar el dispositivo Android a su software original de fábrica. Así que, en caso de que te encuentres infectado con el ransomware Android Dogspectus, se sugiere que conectes el dispositivo a tu PC y copies los datos personales a tu computadora antes de optar por un restablecimiento de fábrica.

Además, siempre se recomienda actualizar el dispositivo a la última versión de Android, ya que las versiones más nuevas del sistema operativo incluyen parches de vulnerabilidad y otras mejoras de seguridad. Además, los usuarios deben restringir sus actividades de navegación web en el dispositivo, una vez que salga del soporte y ya no reciba actualizaciones. De manera similar, en dispositivos más antiguos, en lugar de usar el navegador Android predeterminado, deben instalar un navegador como Chrome.