Aplicación falsa de seguimiento del coronavirus para Android bloquea el dispositivo

Recientemente informamos cómo los hackers estaban abusando de la mortal pandemia de Coronavirus (COVID-19) a su favor al explotar los Mapas del Coronavirus para robar información de los usuarios.

No solo esto, los cibercriminales también utilizaron el miedo al brote de coronavirus para lanzar campañas de correo electrónico para infectar los sistemas de los usuarios con malware.

Explotando aún más esta situación, una aplicación maliciosa de Android está circulando que afirma ayudar a rastrear casos de coronavirus, pero en su lugar instala ransomware y bloquea a los usuarios fuera de su dispositivo.

Descubierto por la empresa de inteligencia de amenazas DNS DomainTools, el nuevo ransomware denominado “CovidLock” utiliza técnicas para negar al víctima el acceso a su teléfono al forzar un cambio en la contraseña utilizada para desbloquear el teléfono. Esto también se conoce como un ataque de bloqueo de pantalla y se ha visto antes en ransomware de Android.

“Los cibercriminales les gusta explotar a las personas cuando están en su momento más vulnerable. Utilizan eventos dramáticos que hacen que las personas se sientan emocionales o temerosas para aumentar sus ganancias”, escribió Tarik Saleh, Ingeniero de Seguridad Senior e Investigador de Malware en DomainTools en una publicación de blog. “El coronavirus no es diferente. Poco después de que se confirmaron los primeros casos, los investigadores de DomainTools observaron un ligero aumento en los nombres de dominio que aprovechaban el Coronavirus y COVID-19. Estas registraciones han alcanzado un pico significativo en las últimas semanas y muchos de ellos son estafas.”

El dominio (coronavirusapp[.]site) y (coronavirusapp[.]site/mobile.html) afirma tener un rastreador de brotes de Coronavirus en tiempo real disponible a través de una descarga de la aplicación.

El dominio solicita a los usuarios que descarguen una aplicación de Android que les dará acceso a un rastreador de mapas de Coronavirus que parece proporcionar información de seguimiento y estadística sobre COVID-19, incluyendo visualizaciones de mapas de calor. En realidad, la aplicación está equipada con ransomware.

Una vez que el ransomware realiza un ataque de bloqueo de pantalla, las víctimas reciben un plazo de 48 horas para pagar un rescate de $100 en bitcoin para eliminar el bloqueo. También se les amenaza con que sus contactos, fotos, videos y la memoria del teléfono serán borrados, así como que sus cuentas de redes sociales serán filtradas públicamente.

“Nota: Su GPS está siendo vigilado y su ubicación es conocida. Si intenta algo estúpido, su teléfono será borrado automáticamente”, afirma la aplicación de ransomware.

Para dispositivos Android Nougat y versiones posteriores, hay protección en su lugar contra este tipo de ataque. Sin embargo, solo funciona si el usuario ha establecido una contraseña. Aquellos que no han establecido una contraseña en su teléfono para desbloquear la pantalla siguen siendo vulnerables al ransomware CovidLock.

Afortunadamente, DomainTools ha realizado ingeniería inversa de las claves de descifrado y publicará la clave públicamente (aunque un Redditor también ha publicado la aparente contraseña). El equipo también tiene la billetera de bitcoin del atacante y está monitoreando las transacciones asociadas con ella.

Para protegerse, asegúrese de descargar aplicaciones de Android solo desde Google Play Store y no desde tiendas de terceros no confiables. Además, evite hacer clic en cualquier cosa relacionada con la salud en su correo electrónico.