Distribuyen un nuevo ransomware para Android utilizando un exploit de Hacking Team

Escrito por Rubén Velasco

Hacking Team es un grupo de piratas informáticos que trabaja desarrollando malware y software espía que, posteriormente, vende a gobiernos y grandes organizaciones para que puedan hacer uso de ello. Debido a su mala ética, en 2014, un hacker logró acceder a su red y robar más de 400 GB de datos, que se hicieron públicos, entre los que destacaban tanto documentos internos de la compañía como una gran cantidad de código fuente del malware creado por estos.

Igual que ocurre siempre que algo se hace público, existe gente que decide utilizarlo para hacer el bien, por ejemplo, para crear herramientas de desinfección o actualizar las bases de datos de virus para detectar dichas amenazas y otra gente que utiliza el código fuente para crear sus propias herramientas maliciosas para hacer el mal y llevar a cabo diferentes ataques informáticos.

Recientemente, los investigadores de seguridad de Blue Coat Labs han detectado una nueva campaña maliciosa para los usuarios de Android que distribuye un nuevo ransomware para el sistema operativo móvil que secuestra el dispositivo y pide el pago de un rescate por poder volver a utilizarlo.

Cuando los piratas informáticos consiguen que la víctima acceda a una página web maliciosa, esta carga automáticamente un código JavaScript que carga en el sistema un exploit de los filtrados tras el ataque a Hacking Team y que, a la vez, hace uso de un payload descubierto en 2014 y utilizado en herramientas como Towelroot para permitir la instalación de una aplicación sin permiso ni necesidad de interacción con el usuario.

Este nuevo ransomware solo bloquea el dispositivo Android, no cifra sus datos

Este nuevo ransomware se hace llamar a sí mismo como Cyber.Police y, a diferencia de otros similares, no cifra los datos de la víctima, sino que simplemente bloquea el uso del dispositivo y, para pagar, pide el envío de dos tarjetas regalo de 100 dólares para iTunes.

Los expertos de seguridad han podido comprobar cómo este exploit afecta a un dispositivo Android con Cyanogen 10, rom basada en Android 4.2.2, sin embargo, desde el pasado mes de febrero se han detectado más de 224 dispositivos únicos conectándose al servidor C&C del ransomware utilizando versiones de Android desde 4.0.3 hasta 4.4.4.

En caso de caer víctimas de este inofensivo ransomware, recomendamos conectar el smartphone al ordenador y copiar a él todos nuestros datos personales (fotos, documentos, etc) ya que estos no han sido cifrados para, posteriormente, intentar eliminar el malware, aunque esta tarea puede llegar a ser bastante complicada ya que el ransomware, al instalarse como una aplicación de sistema, puede sobrevivir a un Factory Reset. En caso de que esto ocurra, lo mejor es flashear una nueva rom (por ejemplo, la versión más reciente de CyanogenMod) desde cero.

¿Qué opinas de esta nueva amenaza? ¿Crees que Haking Team es el responsable de ella al haber utilizado su código?

Quizá te interese:

Fuente > Security Week

Últimos análisis

Valoración RZ
7
Valoración RZ
9
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
10