Nacido a principios de 2016 y
repuntando en los últimos días, LeakerLocker amenaza con mandar tu información
personal (fotos, números, mensajes...) a todos tus contactos si no pagas un
rescate. En su última campaña se ha hecho pasar por aplicaciones legítimas en
Google Play.
Bajo los nombres Wallpapers Blur HD,
Booster & Cleaner Pro, y Calls Recorder, se encontraba en Google Play hasta
hace poco este peculiar malware. Entre otros, amenaza con enviar a todos tus
contactos tus fotos, números de teléfono, mensajes de Facebook, correos
electrónicos... Si no pagas una modesta cantidad. O al menos eso es lo que
dice, porque no se ha encontrado esta supuesta funcionalidad en el código de la
aplicación. Aunque tampoco se puede descartar, ya que este troyano contempla la
ejecución de código arbitrario descargado de los servidores del atacante.
La línea temporal de este malware no
es especialmente compleja. Primero, infecta al usuario haciéndose pasar por una
aplicación legítima en Google Play. Segundo, recopila la información personal e
información sobre el uso del dispositivo. Finalmente, y tras varias
comprobaciones que comentamos a continuación, descarga código adicional de
servidores del atacante y lo ejecuta. En este código se pueden observar
funciones relacionadas con la apertura, gestión e intercepción de datos de
WebViews (vistas web genéricas), funcionalidades usadas entre otras cosas para
suplantar la identidad de aplicaciones legítimas y capturar sus credenciales.
Pero aparte de bloquear el móvil con la imagen que se muestra arriba (y no
permitir su uso hasta el pago) no realiza más actividades maliciosas.
Una de las funcionalidades más
interesantes de este malware es la lista de comprobaciones que realiza para
permitir su propia ejecución. A priori, uno puede pensar que, una vez
infectados, lo interesante es que se ejecute siempre. Pero pensándolo bien
sería interesante que no se ejecutase en condiciones de laboratorio (cuando se
analiza el malware) para evitar su detección intencionada por expertos. Entre
otras, realiza las siguientes comprobaciones:
1. Hay más de 10
contactos y más de 10 fotos
2. Constan 3 o más
registros de llamadas
3. La aplicación se ha
descargado a través de Google Play
Adicionalmente, la parte principal del
malware no se ejecuta hasta pasados 15 minutos desde la infección, lo que es
una contramedida contra técnicas de análisis automático.
Para evitar infectarse con este tipo
de malware, ya en Google Play, aquí van unos cuantos consejos aplicables por el
usuario de a pie:
No instalar aplicaciones que usen la
imagen o suplanten la identidad de aplicaciones oficiales (Una aplicación con
el icono de WhatsApp)
Comprobar que los permisos que pide la
aplicación para instalarse tienen sentido (una aplicación de una linterna que
pide permiso para usar el micrófono, sospechoso...)
Comprobar los comentarios negativos, a
veces avisar que es malware o incluso que la aplicación no funciona (hay mucho
malware muy mal programado...)
No instalar aplicaciones que prometen
funcionalidad maligna (hacer trampas en un juego o "hackear"
WhatsApp, si es que te mereces la infección...)
Más información:
- LeakerLocker
Mobile Ransomware Threatens to Expose User Information http://blog.trendmicro.com/trendlabs-security-intelligence/leakerlocker-mobile-ransomware-threatens-expose-user-information/
- LeakerLocker:
Mobile Ransomware Acts Without Encryption
https://securingtomorrow.mcafee.com/mcafee-labs/leakerlocker-mobile-ransomware-acts-without-encryption/?awc=7545_1501598599_24d36516f8b0fefc43b9cff1c3a52551
- LeakerLocker
Ransomware Found in Two Apps on the Google Play Store https://www.bleepingcomputer.com/news/security/leakerlocker-ransomware-found-in-two-apps-on-the-google-play-store/
- Twitter:
#leakerlocker https://twitter.com/hashtag/leakerlocker
Fuente: Hispasec