SLocker es un ransomware para Android
que cifra los archivos y bloquea la pantalla. Se caracteriza por haberse hecho
pasar por distintas fuerzas de seguridad de los estados, e incluso por el
mismísimo WannaCry, para cobrar el rescate.
Una versión de
SLocker la que se disfraza de WannaCry
Como si de una herramienta open source
cualquiera se tratase, hace unos días se publicó en GitHub el código fuente de
SLocker. El responsable, un usuario bajo el pseudónimo fs0c1ety, Tal y como
avisa en la descripción, no es el código fuente original, sino el obtenido tras
decompilar una muestra con técnicas de ingeniería inversa. Parece ser que este
usuario le está cogiendo el gustillo a eso de decompilar malware para Android y
publicar el código fuente, como muestra otro nuevo repositorio en su misma
cuenta, esta vez decompilando GhostCtrl, otro peligroso malware para Android
que, según la versión, recopila datos personales del terminal, secuestra
funcionalidades del teléfono, o todo a la vez.
En vez de centrarnos en el ransomware
en sí, sobre el que ya hay información en la red de sobra, vamos a centrarnos
en la publicación de su código fuente. El que publica especifica que el código
fuente debe ser usado únicamente con propósitos de investigación en seguridad
informática. Pero las palabras son sólo palabras, y el patrón es conocido de
sobra: se publica el código fuente de un malware y en los días sucesivos
florece una gran variedad de versiones de este, compiladas usando como base el
código fuente publicado. La verdad, no podemos saber a ciencia cierta la
intención de este usuario de GitHub que pide ayuda en una issue (ticket) para
compilar el malware.
El código fuente público de malware
atrae principalmente a delincuentes con perfil bajo, y no se espera un gran
impacto a pesar de la liberación. Los delincuentes más experimentados suelen
preferir programar ellos mismos el malware o comprarlo hecho a terceros con
soporte y garantía de no ser demasiado público (y por tanto demasiado
investigado y detectado). Al no ser atacantes muy sofisticados, los medios de
propagación del malware tampoco lo serán, y seguramente se limitarán a intentar
colar troyanos usando ingeniería social (haciendo pasar el malware por una
herramienta para rootear el móvil o hacer trampas en un videojuego).
¿Cómo evitar ser infectado? El
principal punto débil sigue siendo el usuario. Una vez tienes todo software del
terminal actualizado, el resto es sentido común. No instales aplicaciones
sospechosas (ni siquiera si vienen de Google Play), ya sabes que el malware se
disfraza. ¿De verdad necesitas esa aplicación para hacer trampas en un
videojuego? Te puede costar un mal rato...
Más información:
- SLocker
decompiled code leaked online for free, a gift for crooks and hackers http://securityaffairs.co/wordpress/61323/malware/slocker-source-code.html
- Android
Smartphones Targeted by WannaCry Lookalike https://www.bleepingcomputer.com/news/security/android-smartphones-targeted-by-wannacry-lookalike/
- Cómo saber si
estamos infectados por el troyano GhostCtrl y cómo protegernos de él https://www.softzone.es/2017/07/17/ghostctrl-nuevo-troyano-android/
- Ransomware
Recap: Ransomware as a Service Surge, SLocker Resurfaces https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-recap-ransomware-as-a-service-surge-slocker-resurfaces
Fuente: Hispasec