El ataque acusa a las víctimas de poseer pornografía, encripta todos los archivos en el dispositivo y luego les ordena pagar una multa para desbloquear los datos, según Check Point Research.
Los ataques de ransomware generalmente siguen el mismo patrón. El atacante encripta o bloquea archivos confidenciales en su computadora o dispositivo y exige un rescate para desbloquearlos. En la mayoría de los casos, los delincuentes detrás del ataque no intentan enmascarar su identidad, confiando en su capacidad de convencer a suficientes personas para pagar el rescate. Pero una nueva campaña de malware analizada por el proveedor de inteligencia de amenazas cibernéticas Check Point Research engaña al FBI para dar un aire de legitimidad a la demanda de rescate.
En una publicación de blog publicada el martes, Check Point reveló los detalles detrás de una botnet Malware-as-a-Service (MaaS) conocida como Black Rose Lucy. Vista originalmente por Check Point en septiembre de 2018, Lucy actúa como un gotero para propagar malware y tomar el control de los dispositivos Android.
Después de una infección exitosa en un dispositivo Android, Lucy cifra los archivos y luego muestra una nota de rescate en una ventana del navegador. Esta nota dice ser un mensaje oficial del FBI que acusa a la víctima de deber y almacenar pornografía.
Más allá de encriptar los datos y bloquear el dispositivo, el atacante advierte que los detalles de este delito han sido enviados al Centro de Datos del Departamento de Delitos Cibernéticos del FBI. Para recuperar el control del dispositivo, se le pide a la víctima que pague una multa de $ 500 con una tarjeta de crédito.
Imagen: Check Point Research
En su análisis, Check Point encontró más de 80 muestras de este ataque distribuidas principalmente a través de enlaces de redes sociales y aplicaciones de mensajería. Enmascarados como aplicaciones normales de reproductores de video, estos ejemplos pueden controlar dispositivos infectados al explotar el servicio de accesibilidad de Android, que está diseñado para ayudar a las personas con discapacidades al automatizar ciertas interacciones del usuario. Para lanzar el ataque, Lucy pide a los usuarios que habiliten Streaming Video Optimization (SVO). Esto le da permiso a la botnet para usar el servicio de accesibilidad, lo que le permite encriptar archivos en el dispositivo.
El código del malware apunta a cuatro servidores cifrados de comando y control (C&C) diferentes que pueden comunicarse con Lucy. Los servidores de C&C se codifican como nombres de dominio en lugar de direcciones IP, lo que significa que cualquier servidor desconectado puede reactivarse simplemente tomando una dirección IP diferente. El código indica una gama de comandos que los servidores de C&C pueden emitir sin el conocimiento o permiso del usuario, incluidos los que permiten ver todos los directorios del dispositivo para cifrar archivos, descifrar archivos si se paga el rescate, rechazar el pago y eliminar el malware del dispositivo
"Estamos viendo una evolución en el ransomware móvil", dijo el gerente de Check Point de Mobile Research Aviran Hazum en un comunicado de prensa. "El malware móvil es más sofisticado, más eficiente. Los actores de amenazas están aprendiendo rápidamente, basándose en su experiencia de campañas pasadas. La imitación del FBI es una táctica de miedo clara. Tarde o temprano, anticipamos que el mundo móvil experimentará un gran ataque destructivo de ransomware". Es una posibilidad aterradora pero muy real. Instamos a todos a pensar dos veces antes de aceptar o habilitar cualquier cosa mientras navegan videos en las redes sociales ".
Para protegerse contra el malware móvil, Hazum aconseja a las personas que instalen un producto de seguridad en su dispositivo, usen solo tiendas y mercados oficiales de aplicaciones, y siempre mantengan actualizado el sistema operativo y las aplicaciones.
0 Comentarios