Un ataque de 'malvertising' infecta con ransomware versiones viejas de Android
Unos ciberdelincuentes están utilizando dos conocidas vulnerabilidades para instalar silenciosamente ransomware en dispositivos viejos de Android.
Unos ciberdelincuentes están utilizando dos conocidas vulnerabilidades para instalar silenciosamente ransomware en dispositivos viejos de Android. De esta manera, instalan su propio buscador para que les lleve a webs donde les esperan a las víctimas anuncios maliciosos.
Los ataques basados en web, que se aprovechan de las vulnerabilidades de un buscador o de los plug-in para instalar malware, son muy comunes en los ordenadores Windows, pero no lo eran en Android hasta este momento; esto se debe a que la seguridad del modelo de aplicación es más fuerte por lo general.
Sin embargo, analistas de Blue Coat Systems han detectado que el nuevo ataque drive-by contra Android ha infectado uno de sus dispositivos de prueba, una tableta Samsung que emplea CyanogenMod 10.1 basado en Android 4.2.2.
“Esta es la primera vez, que yo sepa, que un ‘exploit kit’ ha podido instalar con éxito aplicaciones maliciosas en un dispositivo móvil sin interacción alguna con la víctima, es decir, el usuario”, ha explicado Andrew Brandt, director de investigación de amenazas en Blue Coat. “Durante el ataque, el dispositivo no implementó el diálogo de permisos de aplicaciones normales que precede a la instalación de cualquier aplicación en Android”.
Después de continuar la investigación, con la ayuda de Zimperium, los analistas pudieron comprobar que el anuncio malicioso contenía código JavaScript, el cual se aprovechaba de una vulnerabilidad en libxslt. Este agujero de seguridad en libxslt es uno de los archivos filtrados el año pasado desde uno de los software de vigilancia del fabricante Hacking Team.
Si tiene éxito, el agujero de seguridad permite ejecutar un ELF llamado module.so en dispositivo, de forma que este también se aprovecha de otra vulnerabilidad para conseguir acceso de administrador, el mayor nivel de privilegios en un sistema: esta vulnerabilidad en la raíz se conoce como Towelroot, y se conoció en 2014.
Después de que el dispositivo se vea comprometido, Towelroot descarga e instala un archivo APK (Android Application Package) que en realidad es un programa de ransomware llamado Dogspectus o Cyber.Police.
Sin embargo, esta aplicación no encripta los archivos del usuario, como hacen otros programas de ransomware. En su lugar, despliega una amenaza falsa alegando que agencias federales han detectado actividad ilegal en el equipo, y que el usuario debe pagar una multa.
La aplicación bloquea a las víctimas para que no puedan hacer nada más hasta que no paguen la falsa multa o hagan un reseteado de fábrica, aunque esta última opción borraría todos los archivos del dispositivo, por lo que es mejor conectarlo al ordenador y salvarlos primero.
Según ha comentado Brand, “el problema es que con este sistema todos los dispositivos antiguos que no hayan actualizado a la última versión de Android, son susceptibles de sufrir este tipo de ataque”. Por ello, los expertos siempre aconsejan actualizar los sistemas cuando sale una versión nueva, ya que suelen ir parcheando las vulnerabilidades que se descubren.
