Ransonware aterriza en Android

La empresa de seguridad cibernética McAfee ha descubierto un ransomware móvil Android que actúa sin cifrado. Y señala que el malware extorsiona los pagos de sus víctimas amenazando con difundir información privada.

Apodado LeakerLocker, el ransomware se esconde detrás de dos aplicaciones en Play Store de Google; Wallpapers Blur HD y Booster & Cleaner Pro, los cuales son aplicaciones supuestamente bien clasificadas que se han descargado miles de veces.

Google fue  alertado de la amenaza por el equipo McAfee Mobile Malware Research y continua investigando.

Cómo ataca el ransomware de LeakerLocker a Android

A través de la explotación del mayor nivel de permisos de un usuario permite que las aplicaciones infectadas, debido a los servicios que ofrecen, tales como aumentar el rendimiento y la gestión de aplicaciones, LeakerLocker comienza su actividad maliciosa en cuanto la aplicación infectada se inicia.

LeakerLocker bloquea la pantalla de inicio y en segundo plano accede a información privada gracias a que sus víctimas conceden permisos en el momento de la instalación. No utiliza un exploit o trucos de bajo nivel, pero puede cargar remotamente el código .dex desde su servidor de control para que la funcionalidad pueda ser impredecible, extendida o desactivada para evitar la detección en ciertos entornos.

No todos los datos privados a los que el malware afirma tener acceso se leen o se filtran. El ransomware puede leer la dirección de correo electrónico de una víctima, los contactos, el historial de Chrome, algunos mensajes de texto y llamadas, también escoger una foto de la cámara y leer la información de algunos dispositivos.

 Consecuencias del ataque

Desde el punto de infección en adelante, LeakerLocker muestra una colección aleatoria de información en JavaScript para convencer a las víctimas de que tiene acceso a sus datos privados, tales como historial de navegación y contactos, y amenazando con perderlos a menos que se pague un “rescate modesto” de 50$ a través de tarjeta de crédito en menos de 72 horas.

Una vez que se completa un pago, aparece un mensaje que indica que la información privada ha sido eliminada de los servidores.

Sin embargo, McAfee sugiere que las víctimas no hagan pagos de este tipo. Además, no hay garantía de que la información será liberada o utilizada para chantajear a las víctimas de nuevo.

Los expertos no han encontrado el código responsable de transferir esta información a un servidor remoto o de enviar datos personales a los contactos del usuario. Sin embargo, incluso si este ransomware parece una estafa, McAfee no descartará la posibilidad de que el ransomware pueda descargar un módulo de su servidor para cumplir con sus amenazas si el usuario no paga la tarifa de rescate.

 

Comparte:

Escrito por

The author didnt add any Information to his profile yet

Deja un comentario