Los ataques de ransomware generalmente siguen el mismo libro de jugadas. El atacante cifra o bloquea archivos confidenciales en su computadora o dispositivo y exige un rescate para desbloquearlos. En la mayoría de los casos, los delincuentes detrás del ataque no intentan ocultar su identidad, confían en su capacidad para convencer a suficientes personas para que paguen el rescate. Pero una nueva campaña de malware analizada por el proveedor de inteligencia de amenazas cibernéticas Check Point Research se hace pasar por el FBI para dar un aire de legitimidad a la demanda de rescate.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (República Tecnológica)

En una publicación de blog publicada el martes, Check Point reveló detalles de una botnet Malware-as-a-Service (MaaS) conocida como Black Rose Lucy. Visto originalmente por Check Point en septiembre de 2018, Lucy actúa como un cuentagotas para propagar malware y hacerse cargo de los dispositivos Android.

Después de una infección exitosa en un dispositivo Android, Lucy cifra los archivos y luego muestra una nota de rescate en una ventana del navegador. Esta nota pretende ser un mensaje oficial del FBI acusando a la víctima de poseer y almacenar pornografía.

Más allá del cifrado de datos y el bloqueo de dispositivos, el atacante advierte que los detalles de esta violación se han enviado al centro de datos del Departamento de Delitos Cibernéticos del FBI. Para recuperar el control del dispositivo, se ordena a la víctima que pague una multa de $500 con una tarjeta de crédito.

Imagen: Búsqueda de puntos de control

En su análisis, Check Point encontró más de 80 muestras de este ataque distribuidas principalmente a través de enlaces de redes sociales y aplicaciones de mensajería. Estas muestras, que se hacen pasar por aplicaciones de reproducción de video ordinarias, pueden controlar los dispositivos infectados al explotar el Servicio de accesibilidad de Android, que está diseñado para ayudar a las personas con discapacidades mediante la automatización de ciertas interacciones de los usuarios. Para lanzar el ataque, Lucy pide a los usuarios que habiliten la optimización de transmisión de video (SVO). Esto le da permiso a la botnet para usar el Servicio de Accesibilidad, lo que le permite encriptar archivos en el dispositivo.

El código de malware apunta a cuatro servidores de comando y control (C&C) encriptados diferentes que pueden comunicarse con Lucy. Los servidores de C&C están codificados como nombres de dominio en lugar de direcciones IP, lo que significa que cualquier servidor desconectado puede reactivarse simplemente tomando una dirección IP diferente. El código indica una variedad de comandos que los servidores de C&C pueden emitir sin el conocimiento o permiso del usuario, incluidos aquellos para mostrar todos los directorios en el dispositivo para cifrar archivos, descifrar archivos si se paga el rescate, rechazar el pago y eliminar el malware de el dispositivo.

"Estamos viendo una evolución en el ransomware móvil", dijo Aviran Hazum, jefe de investigación móvil de Check Point, en un comunicado de prensa. “El malware móvil es más sofisticado, más eficiente. Los actores de amenazas aprenden rápidamente, aprovechando su experiencia de campañas anteriores. Hacerse pasar por el FBI es una clara táctica de miedo. Tarde o temprano, predecimos que el mundo móvil experimentará un gran ataque de ransomware destructivo. Es una posibilidad aterradora pero muy real. Instamos a todos a que lo piensen dos veces antes de aceptar o activar algo mientras navegan por videos en las redes sociales.

Pour se prémunir contre les logiciels malveillants mobiles, Hazum conseille aux utilisateurs d'installer un produit de sécurité sur leur appareil, d'utiliser uniquement les magasins d'applications et les marchés officiels, et de toujours maintenir le système d'exploitation et les applications al día.

Imagen: kaptnali, Getty Images/iStockphoto