El malware dirigido a dispositivos Android no ha dejado de crecer durante los últimos meses, y buena prueba de ello son las continuas campañas de troyanos bancarios que suplantan la identidad de empresas de transporte, actualizaciones de navegadores como Chrome o, más recientemente, aplicaciones para escuchar mensajes de voz.
Falsa app de Netflix
Las aplicaciones maliciosas, y especialmente aquellas que contienen troyanos bancarios, suelen ser desarrolladas por grupos criminales profesionalizados que ofrecen sus creaciones a otros delincuentes, con sus correspondientes actualizaciones y hasta soporte técnico por un pago único, cuota o incluso reparto de los beneficios obtenidos tras infectar a las víctimas.
No obstante, también existen delincuentes que van por libre y tratan de obtener dinero de forma sencilla infectando, por ejemplo, con un ransomware los dispositivos Android de sus víctimas y solicitando un rescate para recuperar los archivos infectados.
Recientemente y gracias a la información proporcionada por el investigador Malware Hunter Team, hemos visto un ejemplo de este tipo de malware “amateur” que buscaba víctimas entre usuarios de habla hispana, o al menos eso se deduce del mensaje de bloqueo que aparece en la pantalla del dispositivo cuando se infecta.
Este ransomware estaría siendo distribuido haciéndose pasar por un instalador de la conocida aplicación Netflix, lo que se deduce por el nombre que recibe la app (Netflix Mod) y por uno de los iconos que han utilizado para identificarla una vez instalada en el dispositivo infectado.
Respecto al método de propagación, es bastante probable que se esté utilizando una web fraudulenta para descargar esta aplicación maliciosa, aprovechándose de aquellos usuarios que quieran instalar y ver el contenido de Netflix sin tener que abonar la cuota correspondiente.
Ransomware para delincuentes novatos
Al revisar los permisos solicitados por esta aplicación maliciosa podemos ver como pide algunos que parecen directamente relacionados con el funcionamiento del ransomware. Concretamente, el permiso que permite escribir en el almacenamiento externo puede ser usado para cifrar los archivos objetivo de los delincuentes. También observamos otro permiso que permite establecer un nuevo fondo de pantalla, algo que se utiliza para mostrar a la víctima el mensaje indicando de que se ha visto afectada por esta amenaza.
Sin embargo, también encontramos otros permisos como los que permiten leer los SMS recibidos, la lista de contactos o el que permite acceder a la cámara del dispositivo, que son más propios de un spyware, por lo que tampoco podemos descartar esa funcionalidad. También observamos como se hace referencia a un instalador “base.apk” aparentemente relacionado con el grupo TermuxHackers.id.
Este es un dato importante, ya que realizando una sencilla búsqueda encontramos un repositorio en GitHub con ese mismo nombre donde comprobamos como ponen a disposición del que quiera un ransomware para Android con fines “educacionales”. Siguiendo unos sencillos pasos, un aprendiz de delincuente como el que estamos analizando hoy solo tiene que definir algunos puntos como la imagen del icono a utilizar, el nombre de la aplicación o el título y contenido del mensaje de secuestro.
En ese repositorio podemos ver algunas capturas de pantalla del funcionamiento del ransomware e incluso se proporciona un enlace a un vídeo alojado en YouTube para enseñar cómo se prepara y personaliza el instalador del ransomware. Todo esto hace que cualquiera con unos mínimos conocimientos sea capaz de configurar su propio ransomware y comience a propagarlo con la intención de ganar algo de dinero de forma sencilla.
La parte positiva es que este tipo de amenazas son fáciles de detectar y bloquear antes de que causen daño en la información almacenada en el dispositivo y, por ejemplo, las soluciones de seguridad de ESET la detectan como una variante del troyano Android/Locker.CQ.
Conclusión
Si bien este ransomware no habrá conseguido tener un impacto destacable, es importante recordar que existen muchas herramientas y tutoriales que, pese a que también sirven para conocer en detalle estas amenazas, son usadas por delincuentes con pocos conocimientos para iniciarse en el mundo del cibercrimen.
Este es un problema creciente, puesto que el número de amenazas no deja de aumentar y, a pesar de no ser especialmente sofisticadas, pueden afectar igualmente tanto a usuarios como empresas. Por ese motivo es importante contar con soluciones de seguridad correctamente configuradas que sean capaces de detectar todo tipo de amenazas antes de que provoquen daños a nuestros datos personales o corporativos.