Ransomware similar a WannaCry que apunta a teléfonos inteligentes Android

Ransomware similar a WannaCry encripta archivos en el almacenamiento externo de teléfonos inteligentes Android

Parece que el ransomware WannaCry se ha convertido en una fuente de inspiración para muchos delincuentes en todo el mundo. Recientemente informamos cómo un adolescente de 14 años de Japón, impresionado por el malware, fue arrestado la semana pasada por desarrollar un malware similar al WannaCry.

Ahora, los cibercriminales en China han desarrollado un ransomware para Android que utiliza gráficos similares a los de WannaCry y engaña a los usuarios para que paguen rápidamente el rescate.

Para aquellos que no están familiarizados, el ransomware WannaCry explotó una vulnerabilidad en el sistema operativo Windows de Microsoft e infectó a más de 300,000 computadoras en 150 países en 72 horas el mes pasado. El cryptoworm ransomware WannaCry encriptó datos y exigió pago en la moneda virtual Bitcoin a cambio de una contraseña para desbloquear los datos.

Detectado primero por la firma de seguridad china Qihoo 360 y apodado “ WannaLocker ” por Avast, esta versión similar del ransomware WannaCry está actualmente apuntando a usuarios de Android que viven en China. Los hackers están propagando este ransomware a través de foros de juegos chinos donde se disfraza como un complemento para el Rey de la Gloria, un juego móvil muy popular en China.

¿Cómo funciona el malware?

Al instalar este complemento falso en el dispositivo, el ransomware WannaLocker oculta su ícono de la aplicación en el cajón de aplicaciones y cambia el fondo de pantalla principal del dispositivo infectado a una imagen de anime. Luego, comienza a encriptar los archivos almacenados en el almacenamiento externo del dispositivo infectado.

El ransomware utiliza cifrado AES para bloquear los archivos (ver código a continuación). Para evitar la corrupción y el bloqueo del sistema operativo Android, no encripta archivos que comienzan con un “.”, o archivos que incluyen “DCIM”, “download”, “miad”, “android” y “com.” en la ruta, o archivos que son más grandes de 10 KB.

Una vez completado el proceso de encriptación, exige un rescate incluso menor que Simplocker, y utiliza un mensaje de rescate claramente inspirado en la nota de WannaCry para revelar sus órdenes.

Nikolaos Chrysaidos, jefe de inteligencia y seguridad de amenazas móviles en Avast, explica más en una publicación de blog:

“El ransomware luego exige un rescate de 40 Renminbi chinos, que equivale a unos 5-6 dólares estadounidenses. Esto no es mucho en comparación con lo que otros ransomware móviles han exigido en el pasado. El hecho de que el rescate se exija en moneda regular y no en criptomonedas me hace pensar que las personas detrás de esto están tratando de ganar dinero, y rápido. Sin embargo, esto es arriesgado ya que el dinero puede ser fácilmente rastreado, a diferencia de cuando se envían criptomonedas.”

Las víctimas del ransomware son instruidas para pagar el rescate en moneda regular utilizando métodos de pago chinos como QQ, Alipay y WeChat.

El manejo descuidado del rescate sugiere que podría ser obra de un hacker amateur o un grupo de hackers. Como resultado, es solo cuestión de tiempo para que las autoridades chinas descubran quiénes están detrás del ransomware WannaLocker y quién está recibiendo el rescate.

Aquí hay un consejo de seguridad de Avast para los usuarios de Android:

Para proteger tu teléfono y las valiosas fotos, videos y contactos almacenados en él de ransomware, asegúrate de hacer copias de seguridad de tus datos con frecuencia e instalar antivirus en todos tus dispositivos.

Además, los usuarios de Android deben abstenerse de descargar aplicaciones en cualquier mercado de aplicaciones que no sea Google Play. En caso de que te conviertas en víctima de un ataque basado en rescate, no cedas a la demanda de rescate y busca ayuda profesional en su lugar.

La semana pasada, Check Point, una firma de seguridad en línea, detectó un malware malicioso llamado “ Fireball ” que fue creado por la corporación de publicidad china Rafotech, que toma control del navegador web del usuario y genera clics en anuncios falsos y promociones para sus clientes en línea. El malware afectó a más de 250 millones de computadoras en todo el mundo, siendo India el país más afectado.

Fuente: IBT