Si usas un teléfono Android te contamos que existe una nueva familia de ataques ransomware que utiliza los mensajes de texto para expandirse.
Según indica la firma de ciberseguridad eslovaca ESET, este nuevo tipo de ciberataque está vigente desde el 12 de julio y usa la lista de contactos de su víctima para enviarles mensajes de texto que continenen links maliciosos.
Los mensajes de texto contienen un link a una aplicación que supuestamente usa las fotos de la víctima, cuando en realidad es una app maliciosa que contiene el ransomware. Los creadores del virus generalmente utilizan acortadores de URL como bit.ly para esconder el link de la app.
Además los mensajes pueden ser enviados en 42 idiomas, dependiendo de la configuración de idioma del dispositivo atacado, y también utiliza el nombre de los contactos al inicio del mensaje para darle un toque personalizado y más creíble.
Generalmente la app es un juego simulador de sexo en línea, pero mientras tanto, la app accede a los archivos del teléfono atacado, los escanea y encripta la mayoría de los archivos, incluídos mensajes de texto y fotos.
Esto impide que las víctimas accedan a los archivos guardados en el teléfono, aunque una minoría sigue siendo accesible.
ESET observó que el modo de operar del virus fue copiado del ransomware WannaCry que atacaba a computadores con sistema operativo Windows encriptando sus archivos y luego pedía una suma de dinero en bitcoins para "rescatar" esos archivos.
Si bien el codificador de archivos no bloquea el dispositivo, este utiliza un algoritmo RSA para encriptar los archivos que contiene. Luego se genera una clave pública y una clave privada, y esta última es encriptada y enviada al servidor de los piratas informáticos.
Si el usuario paga el rescate, los atacantes ofrecen desencriptar la clave privada y enviarla al usuario para que pueda recuperar sus archivos.
Los investigadores de ESET aseguran que todos los archivos encriptados pueden ser recuperados sin ayuda de los atacantes, pero si los desarrolladores logran eliminar los puntos débiles del virus y la forma de distribución se vuelve más avanzada, este nuevo ransomware puede convertirse en una amenaza seria.
Por otro lado, la nota de rescate le advierte a la víctima que los archivos serán eliminados luego de 72 horas, pero ESET no encontró evidencia de que eso pudiera ocurrir en el código del software.
A diferencia de otros tipos de ransomware, la suma de "rescate" solicitada en bitcoins es parcialmente dinámica: los primeros dígitos son fijos (0.1), y los siguientes seis varían en función del ID del usuario generado por el malware.
Los investigadores no han revelado cuantos dispositivos se han visto afectados por Filecoder, pero al inespeccionar los links de bit.ly encontraron que habían sido clickeados 59 veces, principalmente por usuarios de China continental, Hong Kong y Estados Unidos.
Mientras Android siga siendo objeto de amenazas a la seguridad, los expertos recomiendan solo utilizar Google Play y otras App Stores conocidas para descargar apps, mantener tu teléfono con las últimas actualizaciones y tener cuidado con los permisos que le entregas a las aplicaciones.
