Nuevo ransomware secuestra tu móvil Android en nombre de la NSA

Nuevo ransomware secuestra tu móvil Android en nombre de la NSA

Hasta hace poco el ransomware era un problema exclusivo de los ordenadores, pero en los últimos meses hemos visto con preocupación cómo se ha ido trasladando a los smartphones Android.

El ransomware es un tipo de troyano que, literalmente, secuestra tu dispositivo, encriptando toda la información que contiene. Después te obliga a pagar una determinada cantidad de dinero para liberar las claves para desencriptarlo. Sin ellas es prácticamente imposible recuperar los datos almacenados en el dispositivo, así que no queda más remedio que formatear y perderlo todo.

La firma de seguridad Check Point ha detectado un nuevo tipo de ransomware especialmente peligroso, porque usa un método de actuación nuevo.

Se trata de una variante del troyano Simplocker, que se camufla en diferentes apps atractivas (juegos, mensajería) para que la víctima lo descargue de tiendas de apps no oficiales, o de una web. Al instalarse requiere permisos de administrador y como nunca nos fijamos en los permisos que nos piden las apps, muchas víctimas acaban otorgárselos.

Con estos permisos el troyano puede actuar a su antojo dentro del smartphone: puede enviar SMS, hacer llamadas telefónicas, y manipular archivos. Lo que hace es encriptar todo el contenido de la memoria interna y la tarjeta SD, en donde se almacenan los mensajes, datos, fotos, vídeos, apps, y el resto de información personal.

Los permisos de las apps te roban y espían, así los controlas

La mayoría del ransomware se conecta con un servidor a través de HTTPS (página web) para obtener las claves de encriptación, y gestionar los pagos del rescate. Aquí es donde los antivirus y otro software de seguridad detectan que hay algo raro, y bloquean al malware (con suerte). La gran novedad de esta versión es que se comunica a través del protocolo de mensajería instantánea XMPP, un sistema abierto que usan apps como Facebook, Tuenti, o WhatsApp. Este método es más difícil de detectar por el software de seguridad, porque no se diferencia de un mensaje estándar. La comunicación se encripta usando TLS y se envía a través de Tor, para evitar la localización de los creadores del ransomware.

Una vez encriptado el contenido del smartphone Android infectado, el ransomware muestra una pantalla simulando ser la NSA (la agencia de espionaje americana) en donde afirma que has cometido un delito y te pide pagar una multa de 500 dólares en moneda Bitcoin (que es anónima), para devolverte el control del móvil.

Check Point asegura que ha infectado a docenas de miles de smartphones, y sus víctimas han pagado cientos de miles de dólares en rescates. Ha detectado variantes en Arabia Saudí, Emiratos Árabes y otros países, en donde sustituye la NSA por autoridades locales, así que no hay que descartar que llegue a España.

Ante este tipo de amenazas, la defensa siempre es la misma: mantener actualizado el sistema operativo del smartphone, no instalar apps desconocidas o de procedencia poco fiable, usar un antivirus, y hacer copias de seguridad de todos los datos frecuentemente, por si no nos queda más remedio que formatear el smartphone, ante una infección de ransomware.

[Fuente: Techworm]