Ransomware pueden infectar a los dispositivos Android sin intervención del usuario



Hacking Teams utilizaba el exploit Towelroot para enviar ransomware a los dispositivos Android a través de campañas malvertising




Hoy en día, los investigadores han descubierto una nueva campaña de distribución de malware móvil que no requiere ningún tipo de interacción del usuario con el fin de infectar los dispositivos con ransomware.


La infección se produce cuando el usuario visita un sitio web que contiene código JavaScript contaminado. Blue Coat Labs afirma que el código malicioso se servia a través de anuncios maliciosos (Malvertising).

Los investigadores de seguridad de Zimperium han confirmado que el código malicioso se filtró en el hackeo que se produjo el año pasado a Hacking Team.

El Malvertising golpea a los dispositivos Android

El exploit aprovecha una vulnerabilidad en la biblioteca de Android libxslt para permitir a los atacantes descarga un binario Linux ELF llamado module.so en el dispositivo.

Este binario utiliza el exploit Towelroot en Android (también conocido con el nombre de rooting tookit) para obtener privilegios de root en el dispositivo. Una vez que se garantiza el acceso como root, el module.so también descargará APK adicional en Android, que contiene el código del ransomware.

Teniendo los permisos de root necesarios, el atacante puede instalar silenciosamente el ransomware sin preguntar al usuario por su instalación.

Los objetivos principales del Ransomware son los dispositivos con versiones antiguas de Android.

El nombre de este troyano ransomware es Cyber.Police y se detectó por primera vez en diciembre del 2014. En comparación con el ransomware en pc de escritorio que cifra los archivos, Cyber.Police sólo bloquea la pantalla del usuario y pide que compren dos tarjetas de regalo en iTunes de Apple por el valor de $ 100 cada uno .


Incluso si Apple rastrea las tarjetas de regalo de iTunes, estos pueden ser utilizados como moneda virtual en el mercado de la piratería underground y pasar de mano en mano por años antes de ser utilizados.

Blue Coat Labs señala que las víctimas infectadas envían tráfico sin cifrar desde su dispositivo a un servidor de comando y control central. La compañía fue capaz de rastrear el tráfico procedente de 224 diferentes modelos de dispositivos Android (tablets y teléfonos inteligentes), utilizando versiones de Android entre la 4.0.3 y la 4.4.4.

La versión más antigua que tiene soporte oficial en Android es la 4.4.4, es decir, los atacantes se dirigen a los usuarios que no han podido o no puedan actualizar sus dispositivos.

"El hecho de que algunos de estos dispositivos son conocidos por no ser vulnerables específicamente al exploit libxlst de Hacking Team significa que otros exploits pueden haber sido utilizados para infectar algunas de estos [otros] dispositivos móviles", según señala Andrew Brandt de Blue Coat.


¿Cómo deshacerse de Cyber.Police?

En caso de que usted se encuentre infectado con el ransomware Cyber.Police en Android, Blue Coat informa que se las han arreglado para eliminar el malware después de restablecer el dispositivo a la configuración de fábrica.

Antes de realizar una restauración de fábrica, los usuarios deben conectar el dispositivo a su PC y copiar los datos personales a su ordenador.

La actualización a una nueva versión de Android no ayudó en nada porque Cyber.Police fue instalado como una aplicación normal, y la instalación de las actualizaciones en Android mantiene intactas las aplicaciones durante la actualización.

Fuente: Softpedia