Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Ransomware Charger roba contactos y mensajes SMS
Investigadores de seguridad en móviles de Check Point han descubierto un nuevo ransomware en Google Play llamado Charger.
Charger se encontró inyectado en una aplicación llamada EnergyRescue. La aplicación infectada roba contactos y mensajes SMS desde el dispositivo del usuario y solicita permisos de administrador. Si se conceden, el ransomware bloquea el dispositivo y muestra un mensaje exigiendo un pago.
Los investigadores detectaron y pusieron en cuarentena el dispositivo Android de un empleado de un cliente que descargó e instaló Charger sin saberlo. La detección temprana les permitió avisar al equipo de seguridad de Android, el cual agregó el malware a los mecanismos de protección integrados de Android antes de que empezara a propagarse, asegurando que solo un pequeño grupo de dispositivos fueran infectados.
Ransomware Charger utiliza un enfoque diferente
A diferencia de la mayoría de los programas maliciosos que se encuentran en Google Play, que son muy ligeros y posteriormente descargan los componentes maliciosos reales en el dispositivo, Charger utiliza un método de paquetes pesado. Esto dificulta que el malware permanezca oculto. Los desarrolladores de Charger compensaron esto usando una variedad de técnicas para aumentar sus capacidades de evasión para poder permanecer ocultos en Google Play durante el mayor tiempo posible.
Estos incluyen:
- La codificación de cadenas dentro de cadenas de binarios, lo que hace difícil inspeccionarlos.
- El código de carga de los recursos es cifrado dinámicamente, la mayoría de los motores de detección no puede penetrar e inspeccionar. El código de carga dinámica también está inundado con comandos sin sentido que enmascaran los comandos reales que pasan.
- Comprobar si se está ejecutando en un emulador antes de que comience su actividad maliciosa. El malware para equipos de cómputo introdujo por primera vez esta técnica que se está convirtiendo en una tendencia en los programas maliciosos para móviles que ha sido adoptada por varias familias de malware incluyendo Dendroid.
El rescate
La demanda de rescate es de 0.2 Bitcoins o aproximadamente 180 dólares y es mucho mayor que lo que se ha visto en ataques anteriores de ransomware móvil. En comparación, el ransomware de DataLust exigió solo 15 dólares y podría ser un indicador de un esfuerzo más amplio de los desarrolladores de malware para alcanzar a sus primos de ransomware de equipos de cómputo.
Similar a otros programas maliciosos vistos en el pasado, Charger verifica la configuración local del dispositivo y no ejecuta su lógica maliciosa si el dispositivo se encuentra en Ucrania, Rusia o Bielorrusia. Esto se hace probablemente para evitar que los desarrolladores sean procesados --en sus propios países o sean extraditados entre países.
