Lucy malware para Android agrega cifrado de archivos para operaciones de ransomware

malware

Un actor de amenazas que se centra en los sistemas Android ha ampliado su negocio de malware como servicio (MaaS) con capacidades de cifrado de archivos para operaciones de ransomware.

Nombrado Lucy Gang por los investigadores, el actor es un equipo de habla rusa que se dio a conocer hace dos años con el servicio Black Rose Lucy, que ofrece capacidades de eliminación de botnets y malware para dispositivos Android.

No hay demanda de criptomonedas

La nueva característica permite a los clientes del servicio encriptar archivos en dispositivos infectados y mostrar una nota de rescate en la ventana del navegador pidiendo $ 500. El mensaje pretende ser del FBI y acusa a la víctima de almacenar contenido para adultos en el dispositivo móvil.

El propósito de la nota falsa del FBI‌ es asustar a la víctima para que obedezca la solicitud de los cibercriminales. Es un claro intento de extorsión aprovechando el miedo a las consecuencias legales por visitar sitios web para adultos y almacenar archivos lascivos.

Además del susto, los delincuentes dicen que una foto de la cara de la víctima había sido tomada y cargada en el centro de datos de delitos cibernéticos del FBI junto con detalles de la ubicación. El pago se espera en tres días a partir de la notificación; de lo contrario, la multa se triplica, advierte el mensaje.

Curiosamente, el atacante no toma criptomonedas. En cambio, exigen información de la tarjeta de crédito. Esto es inusual ya que los operadores de ransomware generalmente están cobrando al hacer que las víctimas paguen el rescate en criptomoneda.

Según los investigadores de Check Point, que descubrieron la familia de malware Black Rose Lucy en septiembre de 2018, más de 80 muestras de la nueva versión se han distribuido en la naturaleza a través de aplicaciones de mensajería instantánea y redes sociales.

Una de las nuevas muestras fue descubierta por Tatyana Shishkova, investigadora de malware de Android en Kaspersky, quien en febrero tuiteó una lista de cuatro direcciones IP utilizadas para comando y control (C2).

En declaraciones a BleepingComputer, el gerente de investigación móvil de Check Point, Aviran Hazum, dijo que la campaña actual se dirige solo a las víctimas en los antiguos estados soviéticos, por razones desconocidas. Esta restricción se aplica a la inicialización del malware al verificar el código de país del dispositivo.

Usando un cuadro de diálogo de alerta, Lucy intenta engañar a la víctima para que habilite el Servicio de Accesibilidad , que está destinado a usuarios con discapacidades para ayudarlos con diversas tareas en nombre de las aplicaciones instaladas.

La alerta llama al usuario a activar Streaming Video Optimization, que supuestamente permite que el video se reproduzca en el teléfono. Si la artimaña funciona, el malware obtiene permiso para usar el servicio de accesibilidad.

“Dentro del módulo MainActivity, la aplicación activa el servicio malicioso, que luego registra un BroadcastReceiver que es llamado por la acción del comando. SCREEN_ON y luego se llama a sí mismo. Esto se utiliza para adquirir el servicio 'WakeLock', que mantiene la pantalla del dispositivo encendida, y el servicio 'WifiLock', que mantiene el WIFI encendido ”- Check Point

Cifrar, descifrar y eliminar automáticamente

En cuanto al cifrado, Lucy primero intenta recuperar todos los directorios del dispositivo. En caso de falla, busca el directorio "/ storage". Si esto también falla, el malware busca la carpeta "/ sdcard".

En la siguiente etapa, comienza a cifrar los datos en la ubicación de almacenamiento seleccionada y verifica el éxito de la operación cuando se completa. Hazum nos dijo que el procedimiento no discrimina entre archivos, siempre que puedan cifrarse / descifrarse.

“En esta campaña, no hemos observado una orientación específica por tipo de archivo. Todos los archivos fueron encriptados ”- Aviran Hazum

Como nota interesante, hay una pista falsa durante el proceso de encriptación. Se genera una clave falsa utilizando el algoritmo AES con una semilla constante de 0x100. Esto puede ser un truco del desarrollador de malware o un error en el código.

Sin embargo, la clave de cifrado real está hecha de datos en el primer segmento de 'SecretKeySpec' y la cadena 'Key' que se toma de SharedPreferences.

La función responsable de procesar los archivos los utiliza con el directorio de archivos elegido y una variable booleana que cambia entre el modo de cifrado y descifrado.

Lucy almacena la clave de descifrado en el dispositivo, en la variable SharedPreferences, dice Hazum, y agrega que "para acceder a los datos de otras aplicaciones, el dispositivo debe estar rooteado, lo que no sugerimos que haga".

El análisis de Check Point revela que el malware envía registros después del proceso de descifrado, para informar que todos los archivos fueron procesados ​​y luego ejecuta un comando para eliminarse.

Una mirada a los comandos enviados desde el C2 muestra que Lucy puede hacer llamadas, exportar una lista de aplicaciones instaladas, eliminar las claves de cifrado o ejecutar un shell remoto en el dispositivo

Fecha actualización el 2021-04-28. Fecha publicación el 2020-04-28. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil