Cuidado, este ransomware está buscando atacar tus Smart TVs

Criminales cibernéticos extorsionando dinero a los propietarios de Smart TVs Android después de encriptar sus TVs con ransomware

Parece que, por más que las empresas de seguridad hagan para alcanzarlos, los criminales cibernéticos logran ir un paso adelante. En medio de las amenazas de ransomware que han sido noticia en las últimas semanas, ha surgido un nuevo tipo de amenaza.

Cuando uno pensaba que los cibercriminales solo estaban interesados en hackear sitios web, robar contraseñas, etc., parece que han pasado a un nuevo campo de interés, que es el Internet de las Cosas (IoT). En otras palabras, si posees un Smartwatch, Smart TV, refrigerador inteligente o cualquier dispositivo inteligente conectado a Internet, deberías tener cuidado.

Los investigadores de Trend Micro han encontrado un ransomware de bloqueo de pantalla móvil Android, conocido como ‘FLocker’, que es capaz de bloquear smartphones Android así como Smart TVs. ¡Sí, lo has oído bien!

Echo Duan, un investigador de Trend Micro, escribió en una publicación de blog que desde que salió la versión de FLocker (detectada como ANDROIDOS_FLOCKER.A y abreviada como “Frantic Locker”) en mayo de 2015, la compañía ha rastreado más de 7,000 variaciones del ransomware malicioso. El ransomware FLocker inicialmente apuntaba a smartphones Android, con sus desarrolladores actualizando continuamente el ransomware y añadiendo soporte para los nuevos cambios del sistema Android.

“Este es el primer caso importante de ransomware que infecta TVs que hemos encontrado”, dijo Christopher Budd, gerente de comunicaciones de amenazas globales, a SCMagazine.com en un correo electrónico.

Según el informe, su autor seguía reescribiendo el malware para prevenir la detección y mejorar su rutina. “En los últimos meses, hemos visto picos y caídas en el número de iteraciones lanzadas. El último pico ocurrió a mediados de abril con más de 1,200 variantes”, dijo la compañía.

Este FLocker opera como un troyano policial e intenta asustar a la potencial víctima para que pague, afirmando ser la Policía Cibernética de EE. UU. u otra agencia de aplicación de la ley. Una vez que el malware se descarga y la TV se bloquea, el hacker acusa a las potenciales víctimas de crímenes que no cometieron y exige $200 en tarjetas de regalo de iTunes para desbloquear la Smart TV o el dispositivo móvil.

Irónicamente, la misma conveniencia que obtienen los propietarios al usar múltiples dispositivos que funcionan en una sola plataforma facilita la vida a los hackers. “Usar múltiples dispositivos que funcionan en una sola plataforma facilita la vida a muchas personas. Sin embargo, si un malware afecta a uno de estos dispositivos, dicho malware puede eventualmente afectar a los demás también”, escribió Duan.

“En cuanto a cómo, se entrega a través de vectores de infección estándar: nada nuevo o especial. Las TVs en este caso son daños colaterales accidentales del ransomware, y no están específicamente apuntadas. Simplemente están ejecutando una versión de Android que puede ser atacada”, dijo Budd.

Hay poca diferencia entre FLocker que ataca dispositivos móviles y la versión que va tras Smart TVs.

“Para evitar el análisis estático, FLocker oculta su código en archivos de datos en bruto dentro de la carpeta “assets”. El archivo que crea se llama “form.html” y parece un archivo normal. Al hacerlo, el código de “classes.dex” se vuelve bastante simple y no se puede encontrar ningún comportamiento malicioso allí. Así, el malware tiene la oportunidad de escapar del análisis de código estático. Cuando el malware se ejecuta, desencripta “form.html” y ejecuta el código malicioso”, escribió.

Trend Micro dice que el malware está configurado para desactivarse en algunas regiones, incluyendo Rusia, Bulgaria, Hungría, Ucrania, Georgia, Kazajistán, Azerbaiyán, Armenia y Bielorrusia.

Sin embargo, si FLocker detecta dispositivos fuera de estos países, el malware esperará 30 minutos. Después del breve período de espera, inicia el servicio en segundo plano que solicita privilegios de administrador del dispositivo de inmediato. Si el usuario niega la solicitud, congelará la pantalla simulando una actualización del sistema.

FLocker se ejecuta en segundo plano y se conecta a un comando y control (C&C). El C&C luego entrega una nueva carga útil misspelled.apk y el archivo HTML de “ransom” con una interfaz JavaScript (JS) habilitada. Esta página HTML tiene la capacidad de iniciar la instalación del APK, tomar fotos del usuario afectado usando la interfaz JS y mostrar las fotos tomadas en la página de rescate.

La página web de rescate se ajusta a la pantalla, independientemente de si infectó un dispositivo móvil o una smart TV.

A pesar de que la nueva variante de FLocker no encripta archivos en el dispositivo infectado, tiene la capacidad de robar datos del dispositivo, incluyendo contactos, el número de teléfono, información del dispositivo y datos de ubicación.

Si bien el informe de Trend Micro no es claro sobre cómo FLocker infecta las smart TVs, menciona que típicamente la infección de ransomware llega a través de SMS o enlaces maliciosos.

Por lo tanto, deberías tener precaución al navegar por Internet y al recibir mensajes de texto o correos electrónicos de fuentes desconocidas.

Para aquellas personas que no residen en Europa del Este, Duan recomendó en su blog: “Sugerimos a los usuarios que contacten al proveedor del dispositivo para buscar una solución primero si su Android TV se infecta.”

Para aquellos víctimas que son un poco más conocedoras de la tecnología, pueden posiblemente manejar la tarea por su cuenta. Dijo: “Otra forma de eliminar el malware es posible si el usuario puede habilitar la depuración ADB. Los usuarios pueden conectar su dispositivo a una PC y lanzar el shell ADB y ejecutar el comando “PM clear %pkg%”. Esto mata el proceso del ransomware y desbloquea la pantalla. Los usuarios pueden luego desactivar el privilegio de administrador del dispositivo otorgado a la aplicación y desinstalar la app.”

Agregó además: “Para asegurar los dispositivos móviles, aconsejamos instalar software de seguridad en sus dispositivos inteligentes para protegerlos de aplicaciones maliciosas y amenazas. Trend Micro Mobile Security y Trend Micro Mobile Security Personal Edition protegen a los usuarios de este ransomware y otras amenazas relacionadas. Trend Micro Mobile Security Personal Edition está disponible en Google Play.”

La próxima vez que tu Android smart TV se niegue a reproducir, deberías saber que estás ante un gran rescate.