viernes, 3 de noviembre de 2017

Cuidado con DoubleLocker, bloquea tu Android y pide dinero



Cuidado con DoubleLocker, bloquea tu Android y pide dinero

ALT1040ALT1040
LUNES, 16 DE OCTUBRE DE 2017 13:06 GMT

Image

Es el primer ransomware capaz de cambiar la contraseña y pedirte dinero para desbloquearlo, así como acceder a tus cuentas bancarias y de PayPal.
Si tu teléfono es Android, evita descargar cualquier tipo de software de Adobe Flash Player o lo que sea que se le parezca, especialmente desde páginas web no seguras. La compañía de seguridad informática ESET ha descubierto un nuevo tipo de ransomware que ataca gravemente a los móviles con este sistema operativo.
DoubleLocker está basado en un troyano bancario, por lo que en primera instancia recolecta las credenciales bancarias o de PayPal de los usuarios, para vaciar sus cuentas o incluso eliminarlas.
Además, es capaz de cifrar los datos de accesibilidad del dispositivo infectado para luego cambiar el número de PIN. Así, los usuarios no pueden acceder a su equipo hasta pagar el rescate.
El nuevo PIN es establecido con base en un valor aleatorio, por lo que no se almacena en el dispositivo ni se envía a otro lugar. Es por esto que ni el usuario ni un experto en seguridad pueden recuperarlo.
El rescate solicitado es de 0.0130 Bitcoins y se debe hacer dentro de las primeras 24 horas. De lo contrario, los datos permanecerán cifrados pero no serán borrados.
De acuerdo con los investigadores de la empresa en seguridad informática, es la primera vez que se ha creado un malware para Android que combine tanto el cifrado de datos como el cambio de PIN.
“Debido a sus raíces de amenaza bancaria, DoubleLocker bien podría convertirse en lo que podemos llamar ransom-bankers. Es un malware que funciona en dos etapas. Primero trata de vaciar tu cuenta bancaria o de PayPal y luego bloquea tu dispositivo e información para solicitar el pago del rescate. Dejando las especulaciones de lado, la primera vez que vimos una versión de prueba de un ransom-banker de este tipo fue en mayo de 2017″, comentó Lukáš Štefanko, quien descubrió DoubleLocker.
El ransomware se propaga a través de las descargas de un Adobe Flash Player falso desde webs comprometidas y se instala a sí mismo luego de que se le otorgue el acceso a través del servicio Google Play.
Una vez que obtiene los permisos de accesibilidad, activa los derechos de administrador del teléfono y se establece como una aplicación de Inicio (Home) por defecto sin el consentimiento del usuario.
“Establecerse a sí mismo como una aplicación de Inicio por defecto (un launcher) es un truco que mejora la persistencia del malware. Cada vez que el usuario hace clic en el botón Inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias al uso del servicio de accesibilidad, el usuario no sabe que ejecuta malware pulsando Inicio”, explicó Štefanko.

¿Cómo protegerte de DoubleLocker?
Resultado de imagen de DoubleLocker
La recomendación de Stefanko es realizar el reinicio de fábrica del dispositivo. Sin embargo, es posible superar el bloqueo del PIN sin necesidad de reiniciarlo en smartphones conectados, sólo si estaban en modo de depuración antes de que se activara el ransomware. En ese caso, el usuario puede conectarse a través de ADB y eliminar el archivo del sistema que almacena el PIN. Con esto se desbloquea la pantalla y se puede acceder.

También se pueden desactivar los derechos de administrador del teléfono inteligente para el malware y desinstalarlo. Para ello, a veces es necesario reiniciarlo.

No hay comentarios:

Publicar un comentario