Normalmente, cuando se habla de ransomware solemos pensar en ordenadores. El ataque más sonado fue el de WannaCry en 2017, un ransomware que consiguió colarse en los ordenadores de hasta 74 países gracias a una vulnerabilidad grave en Windows. Sin embargo, aunque en este caso el ataque estuviera dirigido a ordenadores, las plataformas móviles no se libran de este tipo de malware y, como no podía ser de otra forma, Android es el sistema más afectado.
Con más del 80% de cuota de mercado, no es de extrañar que Android sea el objetivo favorito de los cibercriminales y, desde hace ya años, el ransomware es uno de los problemas que amenaza la plataforma. Recopilamos algunos de los ataques de ransomware dirigidos a Android más sonados de los últimos años y te damos las claves para evitarlos.
El auge del ransomware en Android
El ransomware es un tipo de malware cuyo objetivo final es conseguir un beneficio económico. El medio que emplea para conseguirlo es un bloqueo del contenido del terminal. Hay dos tipos de ransomware: el de bloqueo de pantalla y el criptográfico. El primero consiste en secuestrar el acceso al sistema, mientras que el segundo encripta los archivos que contiene. En los dos casos, para poder recuperar el control se exige un rescate económico que generalmente ha de ser pagado en bitcoins.
Como decíamos, aunque muchos de estos ataques tienen como objetivo exclusivamente a ordenadores con Windows, la popularidad de la plataforma móvil de Google la ha colocado en el punto de mira de los cibercriminales y el ransomware es una de las herramientas empleadas.
En el gráfico se puede ver como los casos de ransomware en Android empezaron a aumentar a partir de 2014 y desde entonces han ido en aumento. Estos han sido algunos de los casos más sonados que han afectado a Android.
Android Defender
Android Defender llegó a mediados de 2013 y fue el primer ransomware exclusivamente dirigido a dispositivos móviles Android. Para conseguir su objetivo, la aplicación se disfrazaba de un falso antivirus que, tras escanear el contenido del móvil, encontraba una amenaza grave que bloqueaba el dispositivo y sólo podía ser eliminada si se pagaban los 129 dólares que costaba la supuesta suscripción.
Si esto no era suficiente para que el usuario en cuestión realizada el pago, la aplicación lo intentaba de nuevo con un mensaje más agresivo que venía acompañado de imágenes pornográficas explícitas. Otro método para convencer a las víctimas pasaba por rebajar el rescate a 89,99 dólares.
Obviamente, la app no se podía desinstalar con el método habitual, pero además modificaba algunos ajustes del sistema de forma que impedía restaurar los datos de fábrica, obligando a hacer un hard reset. La buena noticia es que este malware tuvo un alcance bastante bajo (se cree que sólo afectó a unos 50 dispositivos) y no se coló en la Play Store, si no que fue distribuido en forma de APK disfrazado de otras aplicaciones.
Simplocker
En mayo de 2014 se detectó el primer ransomware de tipo criptográfico en Android. Su nombre es Simplocker y se originó en Rusia, tal y como se puede ver en las capturas, aunque más tarde llegaron otras versiones mejoradas que estaban en inglés.
Este ransomware mostraba un mensaje de advertencia en la pantalla mientras que al mismo tiempo se realizaba la encriptación de los archivos en segundo plano. El objetivo del programa eran extensiones de documentos y ficheros multimedia más habituales como JPG, BMP, GIF, PDF, DOC TXT, AVI o MKV. Sin embargo, más tarde se amplió la lista con archivos RAR y ZIP, el formato en el que se suelen almacenar las copias de seguridad, por lo que esta información también se pierde.
Como decíamos, aunque en un principio el ransomware mostraba un mensaje en ruso, más tarde se detectaron versiones en inglés que usaban la clásica técnica del ransomware policial. En este caso se trataba de coaccionar a la víctima con un mensaje que le acusaba de haber visitado sitios de pornografía infantil. Incluso mostraba una imagen del usuario que había sido tomada con la cámara delantera. El pago exigido llegaba a alcanzar los 300 dólares.
Simplocker tampoco fue encontrado en la Play Store, sino que se distribuyó disfrazado de otras apps más populares. Las temáticas elegidas solían ser apps de pornografía o juegos populares como GTA: San Andreas.
Adult Player
En 2015, el porno volvía a ser el protagonista en este ransomware. Como su propio nombre indica, Adult Player se hacía pasar por un portal de vídeos porno y, aunque durante un tiempo la app hacía justamente eso, al activarla nos pedía permisos de administrador para llevar a cabo su verdadero objetivo y acabar por bloquear el terminal
Este ransomware aprovechaba ese tiempo en el que la app parecía funcionar normalmente para sacar fotos del usuario mientras veía vídeos porno, con lo que la amenaza no se reducía solamente a perder los archivos, también se extorsionaba con esas imágenes a menudo comprometedoras. El rescate que exigía Adult Player era de 500 dólares.
De nuevo, la aplicación se distribuyó por canales externos a la Play Store. Para eliminarla era necesario reiniciar el móvil en modo seguro y revocar los permisos de administrador de la aplicación.
Lockerpin
Lockerpin también apareció en 2015 y es un claro ejemplo de cómo los cibercriminales han ido adaptando sus técnicas al ecosistema móvil. Una vez más, el malware se colaba en los dispositivos Android haciéndose pasar por una aplicación con contenido pornográfico, aunque más adelante se hizo más sofisticada y se activaba bajo la apariencia de una actualización.
Esta técnica, conocida como clickjacking, también fue usada en una variación de este ransomware llamada Lockdroid y consiste en una pantalla aparentemente inocente que se superpone a la verdadera pantalla, en la que en realidad estamos otorgando permisos de administrador al malware.
Tras entrar en acción, Lockerpin mostraba el ya clásico mensaje del FBI en el que advertía de que se había descargado contenido pornográfico prohibido y por tanto el terminal había sido bloqueado (el rescate era de 500 dólares). Sin embargo, lo que hace especial a Lockerpin es que además establece un PIN en la pantalla de bloqueo o, si ya teníamos uno, lo modifica para evitar que accedamos al terminal.
Lockerpin era mucho más difícil de eliminar ya que, al tratar de revocar los permisos de administrador en modo seguro, volvía a usar el clickjacking para imposibilitar la desinstalación. La única salida en este caso consistía en un factory reset. Lockerpin tampoco apareció en la Play Store, pero tuvo un alcance bastante amplio que afectó casi exclusivamente a Estados Unidos.
Jisut
Este ransomware se originó en China en 2016 y se cree que nació más como una broma ya que no pedía un rescate por haber bloqueado el dispositivo, aunque más tarde surgieron distintas variantes que sí exigían pagos.
En una de las versiones destaca que los atacantes no se esconden, de hecho añaden sus datos de contacto en QQ, un popular servicio de chat chino, para que la víctima pueda contactarles directamente para hacer el pago correspondiente. Si los perfiles que se suelen incluir son reales, Jisut sería la obra de jóvenes de entre 17 y 22 años que seguramente estaban haciendo sus pinitos en esto de las aplicaciones maliciosas.
Otra variante de Jisut se hizo conocida por ser el primer ransomware parlante, ya que pedía el rescate mediante un mensaje de voz. También se detectaron versiones que reproducían sonidos y mensajes de broma cuando se trataba de reiniciar el dispositivo y hasta una que obligaba a pulsar un botón con el texto 'Soy idiota' mil veces. Pero aunque parezca inofensivo, algunas versiones también son capaces de modificar el PIN de bloqueo e incluso mostrar una pantalla como las de los ransomware policiales. Además, uno de los métodos de propagación de este ransomware consiste en el envío de un mensaje SMS a todos los contactos de la víctima con la URL infectada.
Charger
Cerramos nuestra lista con un ransomware que fue detectado a principios de este mismo año, y esta vez sí consiguió colarse en la Play Store. Los atacantes disfrazaron el código malicioso dentro de Energy Rescue, una aplicación que prometía ayudarnos a ahorrar batería pero en realidad acababa pidiendo un rescate de 0,2 bitcoins, unos 180 dólares al cambio.
Charger es un ransomware de bloqueo de pantalla que amenazaba con vender nuestra información en el mercado negro si no se realizaba el pago pertinente. El mensaje en cuestión era el siguiente:
Tienes que pagarnos, de lo contrario venderemos parte de tu información personal en el mercado negro cada 30 minutos. DAMOS GARANTÍA AL 100% DE QUE TODOS LOS ARCHIVOS SE RESTAURARÁN DESPUÉS DE QUE RECIBAMOS EL PAGO. DESBLOQUEAREMOS EL MÓVIL Y BORRAREMOS TODOS TUS DATOS DE NUESTRO SERVIDOR. APAGAR TU MÓVIL NO SERVIRÁ DE NADA, TODA TU INFORMACIÓN ESTÁ YA ALMACENADA EN NUESTROS SERVIDORESPODEMOS VENDERLA PARA SPAM, FALSEAR INFORMACIÓN, COMETER CRÍMENES, etc... Recolectamos y descargamos todos tus datos. Toda la información sobre tus redes sociales, cuentas bancarias, tarjetas de crédito. Recolectamos toda la información sobre tus amigos y familiares.
A pesar de las amenazas, según la firma de seguridad ESET, la aplicación nunca llegó a enviar la información a los atacantes. Con todo, es un ejemplo claro de que ni siquiera la Play Store está a salvo de este tipo de fraudes.
Cómo evitar el ransomware en Android
Estos han sido algunos de los casos de ransomware en Android más sonados de los últimos años, pero no han sido los únicos. Como hemos visto, cada uno de ellos tiene un modus operandi distinto y no todos se pueden eliminar de la misma forma. Lo mejor en estos casos es la prevención. Te damos algunas claves para evitar verte en una situación como las arriba descritas.
Mantén tu Android actualizado
Cada mes, Google lanza un parche de seguridad con el que bloquean las vulnerabilidades que afectan a la plataforma Android. Si tenemos las actualizaciones al día evitaremos muchos problemas relacionados con el malware. Sin embargo, aquí se presenta un problema, y es que dependemos de que el fabricante del móvil nos haga llegar dicho parche, lo que a veces se demora más de lo que debería.
No instales aplicaciones de sitios sospechosos
La mayoría de ataques que hemos mencionado se propagaron a través de sitios externos a la Play Store. Lo mejor para evitar sustos es limitarnos a instalar aplicaciones de sitios de confianza e huir de cualquier APK de la que no conozcamos el origen.
La desconfianza evita sustos
Aunque la aplicación o el enlace parezca fiable, siempre es mejor comprobar que no estamos ante un posible fraude. Una buena forma de asegurarnos de que lo que estamos instalando es lo que dice ser es revisar los permisos que nos exige la aplicación. Otra opción es leer las reviews de otros usuarios para estar seguros de que no hay nada raro.
Haz copias de seguridad
Si te vieras en la situación de que un ransomware se ha colado en tu móvil, es muy probable que para eliminarlo tengas que restaurar los datos de fábrica del terminal, con lo que perderías toda la información almacenada. Tener tu información a buen recaudo siempre es buena idea.
Activa la verificación de aplicaciones
Android incluye un sistema que busca amenazas en las aplicaciones instaladas, pero no está activado por defecto en muchos terminales. Para tener esta medida de seguridad adicional, dirígete a Ajustes - Cuentas - Google - Seguridad y activa la casilla Verificar aplicaciones. Adicionalmente, también puedes activar la opción 'Mejorar detección de aplicaciones dañinas' que enviará las apps desconocidas a Google para que el sistema mejore.
Instala un antivirus
Si sigues todos los pasos anteriores y eres cauto a la hora de instalar apps en tu Android, ya tienes el mejor antivirus del mercado, pero si prefieres tener una mayor seguridad, puedes acudir a una de las soluciones que ofrecen compañías de seguridad como Avast, Eset, AVG o Kaspersky.
En Genbeta | Nueve de los ransomwares más graves de la historia
Ver todos los comentarios en https://www.xatakandroid.com
VER 9 Comentarios