NUEVO RANSOMWARE ANDROID ELUDE TODAS LAS SOLUCIONES ANTIVIRUS

Los investigadores han descubierto una nueva cepa de ransomware Android que podría evadir la detección en todos los motores antivirus móviles

Actualmente destinadas a los usuarios de habla rusa, este ransomware carece de la funcionalidad básica de descifrado. Esto significa que los usuarios infectados con esta versión ransomware no pueden desbloquear sus teléfonos y recuperar el acceso a sus datos, incluso si pagan el rescate.

Según la firma de seguridad cibernética móvil Zscaler, que vio por primera vez las infecciones, los ladrones detrás de esta amenaza están utilizando tiendas de terceros para difundir su carga útil.

Su modo de funcionamiento es bastante simple y ha sido copiado de otros operadores de malware que vinieron antes. Ladrones identifican una aplicación muy popular en la Play Store, clonar y desmontarlo.

Modifique su comportamiento normal e insertan la carga útil ransomware en su código. Por último, los ladrones ofuscar el código con algoritmos avanzados y volver a empaquetar la aplicación, la posibilidad de subir a una tienda de terceros.

Ransomware espera cuatro horas antes de lanzar

Cuando los usuarios instalan, pensando que era una aplicación legítima, la aplicación maliciosa espera cuatro horas antes de la voladura del usuario con ventanas emergentes que le solicitan derechos de administrador. Las ventanas emergentes son un-descartable, ya que aparecen una y otra vez hasta que la aplicación obtiene lo que quiere.

Una vez que la aplicación tiene derechos de administrador, se bloquea la pantalla del usuario con el mensaje de abajo, indica a los usuarios que tienen que pagar 500 rublos rusos (alrededor de $ 8- $ 10).

Para convencer a los usuarios a pagar, la nota de rescate amenaza con enviar un mensaje SMS a todos sus contactos, y decirle a los amigos de la víctima fue capturado ver material para adultos ilegales.

Zscaler investigadores dicen que un análisis de código fuente del ransomware no reveló ninguna función que comprueba si el usuario pagó el rescate, y mucho menos enviar mensajes SMS a todos los amigos.

En los casos de los usuarios se infectan con esta nueva cepa ransomware, los investigadores aconsejan arrancar el dispositivo en modo seguro, la eliminación de la cuenta de administrador de dispositivos y la aplicación.

Los investigadores creen que la aplicación logró evadir las soluciones de análisis antivirus estáticas, ya que utiliza un código muy ofuscado, pero también porque se emplea una técnica de reflexión de Java para ejecutar su código.

Debido a que la aplicación utiliza un contador de tiempo de ejecución retraso de 4 horas, también eludió las soluciones de seguridad que se basó en el análisis dinámico, que por lo general se instalan e interactúan con una aplicación para un máximo de unos pocos minutos.

"Teniendo en cuenta las tácticas de sigilo diseñadas en esta muestra, no sería difícil imaginar que el autor de subir con éxito este ransomware a la Google Play Store", dijo Gaurav Shinde, analista de Zscaler.



Fecha actualización el 2017-3-31. Fecha publicación el . Categoría: Seguridad. Autor: Mapa del sitio Fuente: bleepingcomputer
Comenta y comparte en Compartir en Google+
Nuevo ransomware Android