Datos sobre el nuevo Ransomware que ataca móviles Android

0

Ya estamos otra vez. La pasada semana comenzaron a verse circulando por la red muestras de un nuevo Ransowmare que afecta a dispositivos móviles. Dispositivos Android, para ser más precisos.

Nuevo ransomware que ataca móviles Android

Es muy posible que alguno de vosotros hubiera conocido en su día al llamado Koler.A para Android, del que ya hablamos aquí. En su momento,e ste ransomware consiguió afectar a decenas de miles de víctimas.

Nuevo ransomware que ataca móviles Android

Esta nueva muestra es similar en muchos aspectos y en su funcionamiento.

Cómo produce la infección

El malware intenta engañar al usuario de móvil para que piense que está a punto de descargar alguna app útil, utilizando nombres más o menos comunes: video player, flash player update, browser update, system update…bueno, incluso se han visto ejemplos de alguna app pornográfica.

Comportameinto de la nueva variante de Koler

Comportameinto de la nueva variante de Koler

Se ofrece al usuario dos métodos para descargar la app: bien desde una descarga directa vía web o bien desde una descarga de archivo adjunto que recibiremos por email.

Funcionamiento del ransomware

Tras haberse instalado en el sistema, se mostrará al usuario una nota falsa que afirma proceder del FBI (esperad a las versiones españolas, no tardarán) en la que, como ya sabréis muchos, se nos informa de que hemos violado alguna ley, visitado algún sitio web de pornografía infantil o hecho algo “malo malísimo”. 

La comunicación parece proceder de una unidad llamada FBI Cyber Crime Unit -que en nuestro país podría ser la BIT o Brigada de Investigación Tecnológica- y dicha supuesta “autoridad” supuestamente ha utilizado los servicios de ubicación para encontrarnos. Ahora, se nos obliga a pagar una multa de 500 dólares si queremos recuperar el control del teléfono.

Detalles

El aviso mencionado ocupará toda la superficie de pantalla, desactivando además los botones fijos del móvil: volver, inicio, etc.

Es interesante ver como los atacantes intentan amedrentar a las víctimas, afirmando cosas como que, si intentamos recuperar el control del teléfono por nosotros mismos, “se triplicará la cuantía de la multa”:

Attention! Disconnection of disposal of the device or your attempts to unlock the device independently will be apprehended as unapproved actions interfering the execution of the law of the United States of America (read section 1509 – obstruction of court orders and section 1510 – obstruction of criminal investigations). In this case and in case of penalty non-payment in a current of tree calendar days from the date of this notification, the total amount of penalty will be tripled and the respective fines will be charged to the outstanding penalty. In case of dissent with the indicted prosecution, you have the right to challenge it in court. To make a penalty payment, go to section “Payment Penalties”.

Para que el mensaje sea más creíble, este tipo de ransomware añade siempre algunos datos sobre el usuario que demuestren que se saben cosas de él. Por eso, se mostrará la siguiente información sobre el sistema afectado:

  • Nº de teléfono
  • IMEI
  • Dirección IP
  • “Supuesto” historial del navegador, conteniendo pornografía como prueba (falso).

Pero no acaba ahí. Si sabéis un poco sobre este tipo de amenazas, no os sorprenderá comprobar como este ransomware utiliza la cámara frontal de nuestro teléfono para hacernos fotos que, según él, “serán enviadas a la Unidad del Cibercrímen del FBI.

 

 

Comportameinto de la nueva variante de Koler

Método de pago

Los creadores de la amenaza han escogido un único método de pago para las víctimas: MoneyPak. Este método es conveniente para ellos, porque no ofrece trazabilidad (no se puede rastrear). Pero aún más importante: este tipo de transacciones no admiten vuelta atrás, como las normales.

Formas de pago para el nuevo Koler

¿Pagar? No, por supuesto!

Los laboratorios Avira (responsables del descubrimiento) han desmantelado el ransomware para ver su forma. Han descubierto que el malwar es capaz de recibir comandos remotos desde un servidor. En cuanto al pago, algunos usuarios que lo han pagado, afirman que no se han desbloqueado sus archivos o, en el mejor de los casos, ha sido solo temporalmente.

Desinfectar este nuevo ransomware que ataca móviles

modo-seguroYa que los usuarios afectados no serán capaces de eliminar el malware ni descargar ninguna herramienta de seguridad mientras dure la infección, el único método fiable pasa por iniciar el sistema en modo seguro. Este tema lo tratamos anteriormente, así que os dejamos un enlace de consulta:

¿Qué te pareció el artículo?

  • User Ratings (1 Votes)
    7.6
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR