Notas de rescate de infecciones ransomware Cerber se han encontrado en el código fuente de dos aplicaciones Android disponibles en Google Play Store
Descubierto por el experto en seguridad ESET móvil Lukas Stefanko, las aplicaciones son Accechiamoli y ForzaFò , dos aplicaciones creadas por un desarrollador de italiano para los aficionados del club de fútbol Foggia Calcio.
Las aplicaciones son limpias, pero que contienen restos de Cerber
Las aplicaciones no están infectados, sino que aparecieron en un escáner de seguridad de ESET en un control rutinario. "Nuestro escáner recogió las sobras ransomware Cerber, que está bien para los programas maliciosos para Windows, pero esto fue detectado dentro de una aplicación de Android, y eso es inusual y poco raro", segun Eset
"Investigué esta aplicación en particular, y trate de identificar lo que se detecta con precisión como Cerber ransomware", agregó el investigador. "Afortunadamente, sólo había una nota de rescate Cerber que desencadenó el escáner, y la carga útil no real."
El escáner de malware de ESET recogió era un archivo llamado README.hta, la nota de rescate Cerber estándar, que deja caer el ransomware en los ordenadores de las víctimas infectadas.
No hay peligro para los usuarios de estas dos aplicaciones o cualquier otro propietario del dispositivo Android desde Cerber es una familia ransomware diseñada para funcionar sólo en equipos Windows.
Por otra parte, también no existe peligro para los usuarios de Windows tampoco, ya que el archivo de la nota de rescate no infectará a otros ordenadores. Los archivos se han utilizado para difundir ransomware, pero estos dos archivos de la nota de rescate no tienen armas de código de ataque.
Los archivos de la nota de rescate ransomware generalmente son benignos. fabricantes de antivirus, generalmente los detectan estos archivos como un signo de una infección ya existente, incluso si los archivos son inofensivos.
Estas dos notas de rescate Cerber sólo muestran información a las víctimas sobre la forma de pagar el rescate y recuperar sus archivos. Sobre la base de la URL del sitio de pago Tor se encuentra en la nota de rescate, descubrimos que esta versión de Cerber estuvo activo entre septiembre y de diciembre de el año 2016.
Hay diferentes teorías sobre cómo la nota de rescate Cerber terminó en el código fuente de las dos aplicaciones.
En Twitter, Stefanko dijo que sospechaba que el desarrollador podría haber sufrido una infección por el propio Cerber ransomware.
Otra teoría es que el diseñador de los íconos (utilizado para la aplicación) se infectó con Cerber. Dado que la nota de rescate se llama README, la mayoría de las personas que han descargado los íconos pensarían que contiene información de licencia del paquete de iconos, y ni siquiera se molestarían abrir el archivo antes de copiar y pegar en una nueva ubicación (como una aplicación para Android).
El desarrollador de la aplicación italiana podría haber copiado la nota de rescate sobrante con el resto de las imágenes en la carpeta / activos de la aplicación para Android cuando se reunió a su aplicación, sin darse cuenta del archivo README.
