Cada cierto tiempo se descubren nuevos códigos maliciosos que afectan a diversos sistemas, ya sean de escritorio o móviles, entre los que parece ser que los principales objetivos de los desarrolladores de estos tipos de software son Windows y Android.
Decimos esto porque se acaba de descubrir un nuevo tipo de ransomware precisamente para el sistema de Google, Android, con una característica que por el momento lo hace diferente al resto, y es que este software malicioso del tipo ransomware es digno de mención por el hecho de que ningún programa antivirus ha logrado detectarlo.
Ha sido descubierto por los investigadores de Zscaler ThreatLabZ en la popular aplicación llamada “OK”, una red social rusa que a día de hoy cuenta con entre 50 y 100 millones de instalaciones desde la tienda oficial de la firma, la Google Play Store. Decir que la aplicación OK disponible en la tienda de Google está totalmente limpia y no contiene ningún código malicioso, sin embargo la alternativa que se encuentra en tiendas de aplicaciones de terceros es la peligrosa.
El ransomware tiene algunas características especiales que lo diferencian del resto, por ejemplo, después de haber instalado la aplicación en cuestión, el malware no actúa inmediatamente como suele ser habitual en estos casos, sino que permanece oculto en segundo plano durante cuatro horas. Así permite que de este modo el teléfono funcione como lo hace normalmente, incluso la propia aplicación infectada funcionará como se supone que debe hacerlo.
Nuevo ransomware descubierto en el sistema Android
Cuatro horas más tarde, la aplicación solicita a los usuarios que agreguen un administrador del dispositivo, lo que permitirá a la aplicación cambiar la contraseña de desbloqueo de pantalla, supervisar los intentos de desbloqueo, bloquear la pantalla o establecer la caducidad de la contraseña de bloqueo. Por supuesto, esto suena muy sospechoso, por lo que lo normal es que los usuarios pulsen en “Cancel“.
Incluso si esto sucede, el mensaje vuelve a aparecer rápidamente, evitando que el usuario realice otra acción o elimine la herramienta. Por lo otro lado si el usuario acepta estos derechos de administración a la aplicación, una nota de rescate aparecerá en la pantalla, por lo que los atacantes exigen 500 rublos como pago, es decir, algo más de 8 euros.
Los expertos en seguridad han analizado la muestra para entender si el malware realmente envía los datos del usuario a un servidor, pero en principio no han encontrado fuga alguna de datos personales, tal y como reclama el ransomware, por lo que este no es capaz de desbloquear el teléfono del usuario infectado con posterioridad. Esto significa que incluso si la víctima paga el precio, el ransomware no dejará de funcionar y el usuario no podrá recuperar el acceso a su terminal Android.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad