Una nueva cepa de ransomware Android disfrazado como una aplicación de reproductor de vídeo utiliza un medio de comunicación que no se ve en otros tipos de malware similar.

La mayoría de las víctimas son de los Estados Unidos y la estafa-cripto ransomware móvil parece ser rentable según los investigadores de Check Point Software Technologies, éstos dijeron que decenas de miles de dispositivos podrían estar infectados y hasta la fecha alrededor del 10 por ciento de las víctimas han desembolsado por rescate entre $ 200 y $ 500. Check Point afirma que su conclusión es incompleta y que probablemente más dispositivos estén infectados y los hackers se han embolsado más de los $ 200.000 a $ 500.000 estimados.

Como la mayoría ransomware móvil, estas infecciones comienzan cuando la víctima descarga de una aplicación falsa de una tienda de aplicaciones de terceros, en este caso una supuesta aplicación de Flash Player. Una vez que la víctima aprueba la instalación y los permisos solicitados, el ransomware encripta todos los datos en el teléfono, a cambio de un rescate.

Las víctimas, con esta cepa, verán un mensaje que pretende ser de la Agencia de Seguridad Nacional con lenguaje amenazante sobre violaciones de derechos de autor y las amenazas conllevan multas, las cuales se triplicarían si no se paga dentro de las 48 horas siguientes a la notificación. El mensaje de la NSA se ha utilizado con otros ransomware móvil, como Koler y Simplocker.

Lo que diferencia a esta cepa de los demás, Check Point, dijo, es que el ransomware utiliza un protocolo de mensajería instantánea llamado XMPP o extensible de mensajería y Protocolo de Presencia, para recibir órdenes y comunicarse con el servidor de comando y control.

“Uso de XMPP hace que sea mucho más difícil para los dispositivos de seguridad rastrear el tráfico de C & C de malware, así como la distinguen del resto del tráfico XMPP legítima,” Check Point, dijo en un informe publicado el miércoles. “También se hace imposible bloquear el tráfico mediante la supervisión de direcciones URL sospechosas”.

A diferencia de la mayoría ransomware que se comunica a través de HTTP, usar XMPP ha sido eficaz para ayudar a que el malware evada la detección. Con la comunicación HTTP, en el tráfico se utiliza la dirección URL o la dirección IP estática del servidor C & C  y se puede bloquear, negar a los atacantes la capacidad de enviar comandos de cifrado y archivos de proceso, dijo Check Point.

“A medida que esta técnica utiliza funciones de biblioteca externa para manejar la comunicación, el malware no requiere ninguna aplicación adicional para ser instalado en el dispositivo,” Check Point dijo. “Como XMPP soporta TLS, la comunicación entre el cliente y el servidor también es cifrada.”

Check Point dijo que los atacantes hacen los mensajes de rescate basados en la ubicación geográfica del dispositivo, por lo que es convincente para la víctima.

“Parece que los creadores del malware diseñado muestra tanto la configuración de la ubicación del dispositivo y el nombre del operador móvil de manera exitosa”, dijo Check Point. “Como resultado, el mensaje de rescate está realmente basado en datos convincentes, coincide con la zona donde se encuentra el dispositivo, haciendo de este un malware muy astuto.”

Check Point dijo que hay docenas de comandos XMPP y cuentas de control vinculadas a estos ataques, que han sido suspendidos por los operadores respectivos.

Fuente: threatpost

Compartir