Primer ransomware para Android que cambia el código PIN del móvil
Frente a otras variantes de ransomware que cifra los ficheros de los usuarios, el troyano Lockerpin puede bloquear el dispositivo y configurar un nuevo código PIN para la pantalla de bloqueo. El 75% de terminales Android infectados se encuentran en los Estados Unidos.
- El 50% de las amenazas para Android son malware financiero
- El ransomware amenaza con afectar a todo tipo de dispositivos conectados
- Primera muestra de ransomware móvil que se propaga vía spam
- ¿Está tu dispositivo móvil afectado por malware tipo ransomware?
- Detectan una nueva versión del ransomware para Android Simplocker
El ransomware dirigido a dispositivos Android ha ido evolucionando y volviéndose más peligroso. Así, frente a Simplocker, el primer ransomware para Android que cifraba los ficheros de los usuarios, los investigadores de ESET han descubierto un nuevo malware capaz de cambiar el código PIN del dispositivo y bloquearlo, que ha sido bautizado con el nombre de Lockerpin.
Lockerpin utiliza técnicas de ingeniería social para engañar a los usuarios y conseguir que lo instalen. El ransomware puede camuflarse como un vídeo pornográfico o una aplicación para ver ese tipo de contenido. En todos los casos analizados, la aplicación maliciosa usaba un nombre utilizado en ocasiones anteriores, que no es otro que Porn Droid. Una vez instalada y bloqueado el dispositivo, al usuario se le presenta una pantalla con una alerta suplantando al FBI para que pague un rescate de 500 dólares por, supuestamente, visualizar contenido pornográfico ilegal en su dispositivo.
Son varias las características que hacen este ransomware especialmente agresivo. Por un lado, Lockerpin no solo consigue los permisos del administrador del dispositivo de forma sigilosa, sino que también utiliza un agresivo mecanismo de autodefensa para asegurarse de que sigue manteniendo estos permisos. Cuando los usuarios intentan desactivar el uso de estos permisos por parte del malware no podrán hacerlo puesto que el troyano dispone de una función de que le permite reactivarlos. La única forma de desbloquear el dispositivo es reiniciarlo a la configuración de fábrica.
Como medida adicional de protección, el ransomware también intenta eliminar todos los procesos existentes en el sistema pertenecientes a software antivirus cuando el usuario intenta desactivar sus permisos de administrador del dispositivo. El troyano intenta protegerse de tres antivirus para Android de ESET, Avast y Dr. Web. “Afortunadamente, con nuestros mecanismos de autoprotección activados, este malware no consigue desactivar ESET Mobile Security”, señalan desde la compañía.
Según datos de ESET, la mayoría de dispositivos Android infectados se encuentran en los Estados Unidos, con un porcentaje del 75%. Esto forma parte de una tendencia donde los creadores de malware para Android están cambiando sus objetivos a víctimas en Estados Unidos, dado que es muy probable que consigan mayores beneficios con estos últimos.
Afortunadamente, la aplicación maliciosa no se puede descargar desde Google Play, lo que limita bastante su alcance. Este troyano puede descargarse solo por otros medios no oficiales como tiendas de apps alternativas, foros de warez o torrents. La mejor manera de evitar que nos infecten y bloqueen nuestro dispositivo móvil es utilizando medidas de seguridad preventivas.
