Hasta ahora, la mayoría de los problemas de seguridad en forma de virus y vulnerabilidades de seguridad, llegaban vía una aplicación maliciosa que debías instalar por ti mismo. Generalmente desde fuera de Google Play, aunque desgraciadamente de vez en cuando consiguen llegar también a la tienda de Google.
Los atacantes han hecho uso de todo su ingenio para lograr que instales su aplicación maliciosa: desde crear juegos enteros "con regalo" hasta prometerte cosas increíbles desde los banners de publicidad de páginas web cuando las visitas desde el móvil. Aun así, si eras cuidadoso siempre te quedaba la falsa ilusión de seguridad de pensar que "si sabes lo que instalas y no pruebas nada raro, no tendrás problemas".
Un nuevo informe de seguridad de la firma de seguridad Blue Coat asegura haber encontrado el que califican como el primer ataque sin necesidad de la intervención del usuario. En este caso concreto se trata de un aviso de seguridad al estilo "ransomware" que se descarga e instala automáticamente desde un sitio malicioso, como por ejemplo un banner de publicidad, sin que te enteres.
La ciber-policia te vigila
Como usuario, esta sería tu historia si tu dispositivo resulta infectado por este mismo malware. Usas el navegador del móvil para navegar por páginas en el límite del bien y del mal (por ejemplo, páginas de piratería, páginas porno, etc.) y un código Javascript malicioso inyectado en un banner de publicidad descarga un archivo ejecutable de Linux ELF llamado module.so con un exploit basado Towelroot.
Towelroot es un viejo conocido en Android, que muchos usuarios han usado para rootear bajo su propia cuenta y riesgo sus móviles, pero cuando tu móvil descarga y se rootea por sí mismo, nada bueno puede pasar a continuación.
Ya con permisos de root, este ataque descarga la aplicación APK maliciosa y la instala por si mismo, sin que recibas ningún aviso. En el caso concreto encontrado por Blue Coat la aplicación bloquea el teléfono para que no lo puedas usar ni recibir o realizar llamadas. Solo puedes leer su mensaje.
El mensaje, ambiguo, básicamente te dice que han bloqueado tu móvil por razones indicadas más abajo. Si vas más abajo, no verás ninguna razón real, sino más bien bla-bla y datos obtenidos del teléfono como el modelo, el país y la dirección IP, cuyo objetivo es simplemente asustarte.
En la parte superior hay una cuenta atrás de tres días. El tiempo que tienes para pagar la multa de 200 dólares en la curiosa forma de tarjetas de regalo de iTunes. Los hackers te dan la opción de comprar dos tarjetas de regalo de 100 dólares, o cuatro de 50 dólares. Todo un detalle.
A diferencia de otros ransomware, especialmente en PC, este nuevo ataque no usa otros métodos más agresivos como cifrar el contenido del móvil y pedir un rescate por el mismo. En este caso parece ser más bien un farol tratando de hacer caja del factor miedo.
¿Debería preocuparme?
Lo primero de todo, los investigadores de Blue Coat están bien seguros del tipo de exploit usado para infiltrar en versiones antiguas de Android desde 4.0.3. Esta vulnerabilidad está parcheada desde Android 4.4.4, la misma versión de algunos dispositivos que también han sido infectados, por lo que todo parece indicar que hace uso de otra vulnerabilidad distinta para acceder a esta versión.
Con todo esto, la forma de estar realmente fuera del radar es tener una versión más moderna de Android como es Lollipop o Marshmallow. Este exploit solo ha sido detectado en dispositivos con Android desde 4.0.3 a 4.4.4.
¿Tu versión de Android se encuentra en este rango? No es de extrañar, pues según los últimos datos de Google el 56.9% de los móviles funciona con versiones afectadas. Esto no quiere decir que debas tirarlo por la ventana y comprarte un nuevo Nexus, pero deberás tener algo de cuidado de por qué lugares de la red te mueves en el móvil.
Algunos navegadores, como Chrome, te avisarán cuando intentes entrar en una página denunciada por contener malware. No es una solución infalible, pero especialmente si tienes una versión afectada sería mejor que te lo pensaras dos veces antes de ignorar dichos mensajes.
¿Y si me infecto?
Suponiendo que tengas la mala suerte de recibir un aviso del estilo en tu móvil, hay varias cosas que puedes hacer. Los investigadores de Blue Coat han confirmado que la aplicación maliciosa y el aviso desaparecen por completo al hacer un reinicio de fábrica. Si el aviso no te deja hacerlo desde el terminal, probablemente puedas hacerlo desde la companion app para PC, si la hubiera (por ejemplo, Kies).
El método anterior borrará todos tus datos y aplicaciones, así que no te olvides de hacer una copia de seguridad usando el mismo sistema. No obstante, algunos usuarios apuntan a otra solución bastante más sencilla e inocua, el Modo Seguro de Android.
Hay varios modos de iniciar el sistema en modo seguro, o Safe mode, aunque los más normales son:
Una pulsación prolongada en "Apagar" en el menú de apagado, hasta que una ventana de aviso te pregunta si quieres reiniciar en modo seguro.
Encendiendo el teléfono mientras pulsas una tecla de volumen como es el caso de disminuir volumen en móviles Samsung.
Consulta el método concreto para tu móvil e inicia el terminal en modo seguro. Después, en los Ajustes - Aplicaciones, deberías ser capaz de encontrar la aplicación adicional y desinstalarla, con lo cual en teoría tu móvil debería volver a la normalidad.
Vía | Ars Technica
En Xataka Android | Otro troyano acecha en más de 60 juegos disponibles en Google Play
Ver 13 comentarios