Cuidado con DoubleLocker, bloquea tu Android y pide dinero
Es el primer ransomware capaz de cambiar la
contraseña y pedirte dinero para desbloquearlo, así como acceder a tus cuentas
bancarias y de PayPal.
Si tu teléfono es Android, evita descargar cualquier tipo de software de Adobe Flash Player o lo que
sea que se le parezca, especialmente desde páginas web no seguras. La compañía
de seguridad informática ESET ha descubierto un nuevo tipo de ransomware que ataca gravemente a los móviles con este sistema operativo.
DoubleLocker está basado en un troyano
bancario, por lo
que en primera instancia recolecta
las credenciales bancarias o de PayPal de los usuarios, para vaciar sus cuentas o incluso eliminarlas.
Además, es capaz de cifrar los datos de accesibilidad del dispositivo infectado
para luego cambiar el número de PIN. Así, los usuarios no pueden
acceder a su
equipo hasta pagar el
rescate.
El nuevo PIN es
establecido con base en un valor aleatorio, por lo que no se almacena en el dispositivo ni se envía a
otro lugar. Es por
esto que ni el usuario ni un experto en seguridad pueden recuperarlo.
El rescate
solicitado es de 0.0130
Bitcoins y se debe
hacer dentro de las primeras 24 horas. De lo
contrario, los datos permanecerán
cifrados pero no serán borrados.
De acuerdo con los investigadores de la empresa en
seguridad informática, es la
primera vez que se ha creado un malware para Android que combine tanto el
cifrado de datos como el cambio de PIN.
“Debido a sus raíces de amenaza bancaria,
DoubleLocker bien podría convertirse en lo que podemos llamar ransom-bankers.
Es un malware que funciona en dos etapas. Primero trata de vaciar tu cuenta
bancaria o de PayPal y luego bloquea tu dispositivo e información para
solicitar el pago del rescate. Dejando las especulaciones de lado, la primera
vez que vimos una versión de prueba de un ransom-banker de este tipo fue en
mayo de 2017″, comentó Lukáš Štefanko, quien descubrió DoubleLocker.
El ransomware se propaga a través de las descargas de un Adobe Flash Player falso desde webs
comprometidas y se instala a sí mismo luego de que se le otorgue el acceso a
través del servicio Google Play.
Una vez que obtiene los permisos de accesibilidad, activa los derechos de administrador del
teléfono y se establece como una aplicación de Inicio (Home) por defecto sin el
consentimiento del usuario.
“Establecerse a sí mismo como una aplicación de
Inicio por defecto (un launcher) es un truco que mejora la persistencia del
malware. Cada vez que el usuario hace clic en el botón Inicio, el ransomware se
activa y el dispositivo se bloquea de nuevo. Gracias al uso del servicio de
accesibilidad, el usuario no sabe que ejecuta malware pulsando Inicio”, explicó
Štefanko.
¿Cómo protegerte de
DoubleLocker?
La recomendación de Stefanko es realizar el reinicio de fábrica del
dispositivo. Sin
embargo, es posible superar el
bloqueo del
PIN sin necesidad de reiniciarlo en smartphones conectados, sólo si estaban en modo
de depuración antes de
que se activara el ransomware. En ese caso, el usuario puede conectarse a través de ADB y
eliminar el archivo del
sistema que almacena el PIN. Con esto se desbloquea la pantalla y se puede
acceder.
También se pueden desactivar los derechos de
administrador del
teléfono inteligente para el malware y desinstalarlo. Para ello, a veces es
necesario reiniciarlo.
No hay comentarios:
Publicar un comentario