La campaña lanzada por ciberdelincuentes para diseminar el ransomware WannaCry pilló con la guardia baja a muchas empresas, pero sirvió para poner en alerta al resto de usuarios. Muchas empresas han advertido de que la amenaza “sigue ahí y no solo afecta a empresas“.

Esta vez, el ransomware ha afectado a Windows pero “el resto de sistemas tampoco están a salvo“, subraya Josep Albors, responsable de investigación y concienciación de ESET España. “Existe ransomware dirigido a MacOS y a Linux, pero es en Android donde, desde los laboratorios de ESET, hemos registrado un mayor aumento de casos”, continúa el experto.

Si bien los primeros casos de ransomware para Windows comenzaron a observarse a mediados de 2013, el ransomware dirigido a dispositivos Android comenzó a popularizarse un año después. Según ESET LiveGrid, desde entonces el número de detecciones de ransomware para Android ha crecido año tras año en tasas interanuales de más del 50%, con el pico más elevado en la primera mitad de 2016.

Ransomware ANDROID

“Está demostrado que los creadores de malware han estado instalando en Android las técnicas que previamente han demostrado tener éxito en Windows”, explican desde ESET España. Las vías más comunes para propagar este tipo de amenaza en Android son:

  1. Correo electrónico: los atacantes utilizan ingeniería social para inducir a las víctimas a hacer clic en enlaces maliciosos en correos electrónicos, redirigiéndolos a una aplicación de Android infectada.
  2. Aplicación “troyanizada”: el ransomware se propaga disfrazándose de aplicación legítima en repositorios incluso oficiales, como Google Play. Los ciberdelincuentes utilizan aplicaciones famosas, juegos de moda o aplicaciones relacionadas con la pornografía para aumentar la probabilidad de que las víctimas descarguen el malware.
  3. El método más novedoso y sofisticado para propagar las aplicaciones infectadas consiste en que los atacantes ofuscan el malware, ocultándolo más profundamente en la aplicación, a menudo moviéndola a la carpeta de recursos, usada habitualmente para las imágenes u otro contenido necesario. Las aplicaciones infectadas parecen no tener funcionalidad exterior, sin embargo, son capaces de descifrar y ejecutar la carga de ransomware oculta.

Cronología del ransomware para Android

Las primeras apariciones de ransomware para Android fueron casos en los que la funcionalidad de extorsión se añadió a falsos antivirus que mostraban un análisis simulado de los archivos del dispositivo e intentaban persuadir a los usuarios para que pagaran por la desinfección.

Ransomware Android Cronología

Pero poco a poco los ciberdelincuentes han ido refinando sus técnicas: desde el ransomware de la policía que apareció en la primera mitad de 2014 a Simplocker, el primero que además de bloquear, cifraba archivos para Android; Lockerpin, que modifica el código PIN del usuario por otro para impedir el acceso al dispositivo; Jisut, que incorpora la peculiaridad de solicitar el rescate de los archivos usando un mensaje de voz; y el último de ellos, Charger: descubierto a principios de 2017 en la plataforma Google Play, se ocultaba en una app para ahorrar energía del dispositivo, EnergyRescue, y actuaba como un troyano de puerta trasera controlado remotamente con la capacidad de bloquear el dispositivo del usuario.

Es por ello que, desde ESET se recomienda a los usuarios de dispositivos Android ser conscientes de las amenazas de ransomware y tomar medidas de prevención ante las posibles infecciones:

  1. Descargar aplicaciones solamente desde sitios oficiales y leer los comentarios de otros usuarios para comprobar que se trata de la aplicación que realmente estábamos buscando.
  2. Tener una aplicación de seguridad fiable, debidamente actualizada.
  3. Realizar copias de seguridad de los datos cada cierto tiempo.
  4. Y, sobre todo, en el caso de haber sido infectado, no pagar el rescate nunca porque no se garantiza que los archivos se puedan recuperar.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario