Expertos de Check Point® Software Technologies Ltd. descubrieron
Charger en la aplicación EnergyRescue, disponible en Google Play Store. Una vez
instalada en el terminal móvil, roba sus contactos, mensajes SMS y solicita
permisos de administrador. Si el usuario los concede, el ransomware bloquea el
dispositivo y muestra un mensaje exigiendo pago, bajo la amenaza de vender
información personal en el mercado negro.
“Usted tiene que pagarnos, de lo contrario iremos vendiendo su información personal en el mercado negro cada 30 minutos. GARANTIZAMOS AL 100% QUE TODOS SUS ARCHIVOS SE RESTAURARÁN DESPUÉS DE RECIBIR EL PAGO. ¡DESBLOQUEAREMOS EL DISPOSITIVO MÓVIL Y ELIMINAREMOS TODOS SUS DATOS DE NUESTRO SERVIDOR! ¡APAGAR SU TELÉFONO NO SERVIRÁ DE NADA, TODOS SUS DATOS ESTÁN ALMACENADOS EN NUESTROS SERVIDORES! TODAVÍA PODEMOS VENDERLOS PARA SPAM, FALSIFICAR SU IDENTIDAD, COMETER CRÍMENES BANCARIOS, etc. Recolectamos y descargamos todos sus datos personales. Tenemos toda la información sobre sus redes sociales, cuentas bancarias, tarjetas de crédito. Recopilamos todos los datos sobre sus amigos y familiares”.
La demanda de rescate de 0,2 Bitcoins (aproximadamente
165 euros) es mucho más alta que la que se ha visto en los ransomware móviles
hasta ahora. En comparación, DataLust pedía sólo 14 euros. Los ingresos se
hacen a una cuenta Bitcoin concreta, pero hasta el momento no se han encontrado
pagos.
Charger es una amenaza muy particular, ya que en lugar de instalar campañas de publicidad fraudulentas, ataca directamente al bolsillo de los usuarios. Al igual que FakeDefender y DataLust, esto podría ser un indicador del mayor esfuerzo de los desarrolladores de malware móvil por ponerse al nivel que los de ransomware para PCs.
Similar a otros malware vistos en el pasado, comprueba la
configuración local del dispositivo y no se ejecuta si el dispositivo se
encuentra en Ucrania, Rusia o Bielorrusia. Esto se hace probablemente para
evitar que los desarrolladores sean procesados en sus propios países o sean
extraditados.
La mayoría de los programas maliciosos que se encuentran en la tienda oficial de Google contienen sólo un pequeño ejecutable que posteriormente descarga el malware completo en el dispositivo. Charger, sin embargo, utiliza un envoltorio más pesado, que hace más difícil que el malware permanezca oculto. Sus desarrolladores incluyeron técnicas avanzadas para aumentar sus capacidades de evasión y que se mantuviera en Google Play el mayor tiempo posible. Cuando Check Point descubrió la amenaza, se puso en contacto con Android para que eliminaran la app infectada y tomaran las medidas correctas de protección.
Para protegerse contra Charger, y contra amenazas
similares, Check Point recomienda utilizar software de prevención de amenazas
móviles. El malware que ataca a smartphones y tablets se ha disparado en los
últimos tiempos. Contar con una solución de protección avanzada es la única
forma de estar un paso por delante de los ciberdelincuentes.
Más información
- Blog Check Point
http://blog.checkpoint.com/2017/01/24/charger-malware/