Se detectaron distintas variantes de casos de ransomware en dispositivos celulares. Se trata de aplicaciones falsas que encubren un código que captura información y la secuestra. Luego la usan para pedir rescate.
Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Se propaga mediante un troyano o gusano. Es una metodología que viene creciendo y consolidándose en el último años.
Estos códigos maliciosos solicitan un rescate a cambio de la información que borran o cifran, usando algoritmos de cifrado cada vez más complejos que imposibilitan o dificultan la recuperación de los archivos.
Según un informe de ESET, los principales casos que se presentaron durante los últimos meses son:
Simplocker: Escanea la tarjeta SD de un dispositivo con Android en busca de ciertos tipos de archivos, los cifra y exige el pago de un rescate para descifrarlos. Constituye el primer malware estilo Filecoder destinado al sistema operativo de Google, y está activado en Tor. Inicialmente, Simplocker estaba dirigido a usuarios de Rusia y Ucrania. Utiliza distintas vías de de infección. Los más usuales giran en torno a la pornografía en Internet o a juegos populares, pero también hace uso de un componente descargador de troyanos (TrojanDownloader). Por ejemplo, Android/TrojanDownloader.FakeApp, intentaba engañar al usuario para que descargue un reproductor de vídeo que no era tal.
El Virus de la Policía, ahora para Android: El acceso a una de las webs maliciosas con un dispositivo Android es redirigido a una web con contenido pornográfico que intentará descargar un fichero .apk (aplicación de Android) en el sistema. Al contrario de lo que sucede con las versiones de este ransomware para sistemas Windows, aquí es necesario que el usuario acepte la instalación de la aplicación (y sus permisos) para que este malware pueda activarse en el dispositivo.
Equipos iPhone bloqueados remotamente: Son más secuestros virtuales que ramsonwares. En realidad lo que se está viendo frecuentemente es un uso malicioso de la función Find my IPhone que permite localizar cualquier dispositivo Apple asociado a la cuenta de iCloud. Entonces, una vez dentro del panel de iCloud, el atacante puede configurar el mensaje que le llegará a quien tenga el dispositivo para que se bloquee y quede inutilizado.
“Esto nos muestra cómo el ransomware ha comenzado a consolidarse en la región y cómo los cibercriminales aprovechan este tipo de ataque para obtener rédito económico», explicó Raphael Labaca Castro, Coordinador de Awareness & Research de ESET Latinoamérica. «Nuestros sistemas estadísticos muestran que las detecciones de esta amenaza han crecido en los últimos dos años», agregó. Según indicó, los medios de propagación más comunes son a través de sitios maliciosos (ataques drive-by-download), por otros troyanos (Downloader o Backdoor) o por una instalación manual de parte del atacante, infiltrándose por Remote Desktop Protocol (más común para entornos corporativos).
En mayo, el FBI detuvo un importante operativo de ramsonware conocido como Cryptolocker, que en solo nueve meses, se había apoderado de los archivos de 400 mil personas. A las víctimas se les pidió que pagaran 300 dólares en un lapso de tres días para recuperar el accso a sus archivos. Solo una pequeña fracción de ellos pagó, pero aun así, los criminales reunieron más de 4 millones de dólares.
Desde Dambalia, una de las empresas de seguridad informática que colaboraron con el FBI en aquella ocasión, la ejecutiva Julie Preiss afirmó: «Este es un asalto cibernético».
Las medidas de seguridad básicas para evitar y combatir amenazas de este tipo son básicamente realizar backups de la información periódicamente e instalar una solución de seguridad (antivirus/antimalware) que sea capaz de detectar y eliminar este tipo de código.