Seguridad móvil

La evolución del ransomware móvil

Raquel Peréz Carrera, 18 abril 2016

El ransomware no sólo ataca al ordenador, esta desagradable forma de malware es cada vez más sofisticado y común también en el mundo de los móviles.

Recientemente el ransomware ha sido un tema candente. El último ransomware de ordenador, Locky, hizo sus rondas finales en febrero y múltiples hospitales se infectaron, lo que obligó a un cierre de línea. El ransomware no sólo ataca al ordenador, esta desagradable forma de malware es cada vez más sofisticado y común también en el mundo de los móviles.

¿Qué es el ramsomware?

El ramsonware es un tipo de malware que bloquea un dispositivo o cifra datos en él y luego pide un rescate para desbloquearlo o descifrar los datos.

El ransomware se difunde normalmente usando tácticas de ingeniería social, lo que significa que las personas son engañadas al descargarlo. En los esquemas de ingeniería social, las víctimas creen que están descargando contenido inocente o un servicio fundamental, como un software antivirus o una factura que deben pagar, cuando en realidad están descargando ransomware. Una vez descargado, el ransomware muestra un mensaje falso acusando al usuario de actividad ilegal (descarga ilegal de pornografía o algo parecido),--El ransomware entonces cifra los archivos o bloquea el dispositivo y después pide un rescate para descifrarlos o desbloquearlo. Una vez hecho el pago, normalmente con Bitcoins a través de Tor, el ransomware  se comunica con el C&C (mando y control) del servidor, que luego envía a la víctima una clave de descifrado.

“El ransomware está en auge porque ha tenido un efecto inmediato sobre la psicología del usuario infectado. El miedo y la ansiedad son dos emociones que principalmente pueden provocar los delincuentes para conseguir que las víctimas paguen el rescate. “Dice Nikolaos Chrysaidos, analista de malware móvil en Avast. “La ingeniería social juega un papel importante en el desarrollo del miedo. Las imágenes y el texto pueden llevar a la víctima a creer que están siendo acusados de realizar actividades ilegales. La ansiedad la pueden  causar los temporizadores de cuenta atrás que limitan el tiempo que tiene la víctima para pagar el rescate y descifrar el dispositivo o los archivos”.

Cómo fue la transición del ransomware a los móviles

Los cibercriminales son como las chicas adolescentes que les gusta ir a la moda, pero en este caso, significa ´ir en móvil´ con ransomware. El malware que tenía como objetivo los ordenadores pone ahora rumbo a los dispositivos móviles.

Cerca de dos tercios de los americanos tienen un teléfono inteligente y de acuerdo con el informe Ericsson, el 70% de la población mundial va a utilizar un teléfono inteligente (smartphone) en 2020. Este crecimiento del público objetivo es ideal para los cibercriminales porque las personas almacenan una gran cantidad de datos personales en sus móviles, eso significa que estarían dispuestos a pagar un rescate para recuperar sus datos en peligro.

2014

En 2014, surgió la primera variante de simplocker. Simlocker es el primer ransomware de móvil que cifra imágenes, videos y documentos usando  Advanced Encryption Standard (AES). Antes de Simplocker, el ransomware en móviles sólo aseguraba cifrar datos como táctica de miedo, pero realmente no cifraba ningún archivo.

Aunque la primera variante de Simplocker fue algo revolucionario, usaba el mismo cifrado para cada dispositivo infectado (piensa en ello como una llave maestra). Una vez que averiguamos la clave de descifrado, fuimos capaces de crear una aplicación llamada Avast Ransomware Removal que puede descifrar todos los dispositivos infectados con Simplocker.

2015

Hace unos meses, apareció la segunda variante de Simplocker. Los cibercriminales que estaban detrás del Simplocker inicial se dieron cuenta de que necesitaban un método de ataque más fuerte y entonces comenzaron a generar claves únicas para cada dispositivo infectado. Esto, por supuesto, hace que sea más difícil descifrar los dispositivos infectados.

“ Las claves de cifrado de ransomware en móviles son cada vez más fuertes, pero todavía son aproximadamente cinco veces menos sofisticadas que las de los ordenadores“ dice Filip Chytrý, investigador de seguridad en Avast. "El Ransomware en móviles cifra los datos usando un algoritmo AES de 256 bits, que todavía es imposible de descifrar sin la clave correcta".

En 2015, descubrimos que más de 200.000 de nuestros usuarios móviles tienen ransomware. Ya vimos un crecimiento del 5-6% año a año  entre principios del 2015 y principios del 2016, y no creemos que este crecimiento baje a corto plazo.

¿Cómo se distribuye el ransomware en móviles?

Dado que es difícil obtener el malware en Google Play Store, los distribuidores de ransomware utilizan sobre todo la ingeniería social para engañar a la gente y que descarguen el contenido malicioso en sitios web. En numerosos casos el ransomware se disfraza de aplicación de antivirus en un sitio similar a Google Play. Primero, el usuario tropieza a través de un anuncio durante la navegación, que afirma que el dispositivo está infectado. Cuando se hace clic en el anuncio se abre una página que se parece a la de Google Play Store. Si te fijas, el sitio tiene un nombre de dominio diferente. El sitio falso tendrá una URL como google.xy, no google.com. La aplicación falsa comienza a instruir a la víctima para que permita la descarga de aplicaciones en fuentes distintas de la oficial (Google Play Store).

Ransomware también se puede distribuir a través de vulnerabilidades como Certifi-gate. Si se distribuye a través de Certifi-gate, la aplicación maliciosa no tiene que porque engañar al usuario para que este descargue el ransomware fuera de Google Play Store, puede concederle el acceso.

 ¿Qué ocurre una vez que el dispositivo está infectado?

Una vez descargado el ransomware, este envía una huella digital de la aplicación, el IMEI o el número de teléfono del dispositivo a un servidor de C & C. Dependiendo del nivel de sofisticación del malware, el servidor C & C envía de vuelta una clave de cifrado genérica, una clave de cifrado única para los dispositivos específicos, o simplemente no hay comunicación con el servidor C & C en absoluto. Si se envía una clave de cifrado, el dispositivo puede ser bloqueado o los archivos pueden ser cifrados.

¿Qué pasa cuando se paga el rescate?

En algunos casos, aunque se haya pagado el rescate las aplicaciones no descifran los datos. Hemos visto casos en los que la aplicación descifra los datos y después el ransomware pretende borrarse a sí mismo, pero realmente permanece oculto en el dispositivo. Cuando está oculto, el ransomware puede permanecer latente durante algún tiempo, enviando pings de vuelta al servidor C&C. En este caso, los cibercriminales pueden enviar un comando y reactivar el ransomware en cualquier momento. Por esto, es fundamental para las personas que estén pagando un rescate que descarguen un antivirus para su móvil, como Avast Mobile Security, para garantizar que el malware es eliminado por completo y no volverá a ser reactivado.

Bromistas Vs Cibercriminales

Los distribuidores de ransomware se pueden dividir en dos grupos.

“El treinta por ciento del ransomware se difunde mediante aficionados que quieren hacer dinero fácil. Este grupo difunde ransomware que en realidad no cifra dispositivos infectados o utiliza una clave genérica de cifrado“ dice Filip Chytry. “El otro 70% del ransomware es difundido por cibercriminales. Estos cibercriminales distribuyen el ransomware comunicándose de vuelta con los servidores C&C que envían una única clave de cifrado para cada dispositivo infectado. Podemos decir que existen redes organizadas detrás de este tipo de ransomware, porque tienen servidores en todo el mundo y rotan entre ellos para que sea más difícil para las compañías de antivirus bloquear las conexiones entre sus servidores“

¿Qué hacer cuando tú teléfono se ha infectado de ransomware?

Si tu teléfono se infecta con ransomware, por desgracia hay poco que puedas hacer, además de pagar el rescate. En general no se aconseja el pago del recate porque esto apoya el hecho de que el ransomware es una forma efectiva de ganar dinero para los cibercriminales y les anima a continuar. Si te has infectado con ransomware pero todavía puedes descargar otras aplicaciones, intenta descargar Avast Mobile Security para liberar el dispositivo del ransomware.

¿Cómo protegerse del ransomware en móviles?

Como ya dijimos, hay un paso muy importante que debemos hacer para proteger todos nuestros dispositivos (móvil, PC y Mac por igual) del ransomware: ¡Descargar un antivirus!

No decimos esto sólo porque ofrezcamos seguridad para Android, PC y Mac, sino también porque estas soluciones pueden proteger realmente tu dispositivo y los datos del mismo de muchas formas diferentes de malware.

Además de descargar un antivirus, asegúrate de que eres consciente de lo que haces mientras navegas por Internet. No abras ningún enlace o archivo adjunto de fuentes desconocidas o sospechosas.