La última variante de WannaLocker es un troyano bancario, una herramienta de spyware y un ransomware.
Los investigadores de Avast informaron esta semana que observaban una nueva versión del malware que combina la interfaz de usuario de WannaCry con un nuevo software espía, un troyano bancario y funciones de administración remota.
La amenaza de tres puntas, que el proveedor de seguridad llama WannaHydra, actualmente se dirige a los usuarios de los cuatro bancos más importantes de Brasil. Pero si despega, el malware podría ser un problema importante para los usuarios de Android en todas partes, dijo Avast.
WannaLocker apareció en junio de 2017 casi al mismo tiempo que WannaCry. Avast observó por primera vez que estaba dirigido a usuarios de foros de juegos chinos disfrazados de complemento para un juego popular.
Cuando se instaló, el malware encriptó ciertos archivos almacenados en el almacenamiento externo del dispositivo mientras dejaba otros archivos intactos, incluidos archivos de tamaño menor a 10 KB y archivos que contenían "DCIM" o "descarga" en su ruta, señaló Avast en ese momento. Luego exigió un rescate de 40 Renminbi (actualmente alrededor de $ 5.80) por la clave de descifrado. Trend Micro describió el malware como una variante de SLocker, una de las primeras herramientas de ransomware conocidas, con una interfaz gráfica de usuario de WannaCry.
La última versión de WannaLocker funciona al presentar a los usuarios de las cuatro aplicaciones bancarias específicas un mensaje falso que les insta a iniciar sesión en sus cuentas para solucionar algún problema relacionado con la cuenta. Una vez instalado, el malware recopila una variedad de información que incluye el nombre del fabricante del dispositivo y otra información del hardware, el número de teléfono, los mensajes de texto, el registro de llamadas, las fotos, la lista de contactos, los datos de audio del micrófono y la información de ubicación del GPS.
Al igual que las cepas anteriores, la última versión de WannaLocker tiene la capacidad de cifrar archivos en el almacenamiento externo del dispositivo Android infectado. Pero esa característica en particular parece ser todavía un trabajo en progreso, dijo Avast.
"El nuevo malware, WannaHydra, comparte la misma interfaz de usuario [como WannaCry] en su módulo de ransomware, pero contiene más capacidades que incluyen spyware y un troyano bancario", dice Nikolaos Chrysaidos, investigador de amenazas móviles de Avast.
"Tiene una capacidad bastante amplia para recopilar información y podría usarse para extraer información personal y financiera además de entregar el paquete de ransomware", dice. No está claro, sin embargo, cuánto dinero, si lo hubiera, los atacantes podrían estar pidiendo como rescate, señala.
WannaHydra parece estar aún en desarrollo, por lo que se podrían agregar características adicionales o eliminar algunas de ellas en una fecha posterior, agrega. Este tipo de malware para dispositivos móviles generalmente representa una mayor amenaza para los usuarios de Android porque a los atacantes les resulta más fácil entregar códigos maliciosos en Android que en dispositivos iOS, dice.
"En este caso, el ataque está dirigido a usuarios en Brasil, pero cualquiera puede ser víctima de malware móvil", advierte. Por eso es importante que los usuarios de Android solo descarguen aplicaciones de desarrolladores de confianza en tiendas de aplicaciones certificadas como Google Play.
Sam Bakken, gerente sénior de marketing de productos del proveedor de ciberseguridad OneSpan, dice que es bastante probable que la funcionalidad de ransomware en la nueva variante de WannaLocker exista como una opción alternativa en situaciones en las que un dispositivo infectado no haya instalado la aplicación de uno de los cuatro bancos. "Luego caería de nuevo ante el ataque del ransomware", en estas situaciones, dice.
Los usuarios de Android deberían asegurarse de estar en la versión más actualizada del sistema operativo posible, señala Bakken. A menudo, eso puede ser difícil porque los usuarios de Android a menudo están vinculados a los programas de actualización del sistema operativo de su fabricante de dispositivos o proveedores de servicios de telefonía celular, dice.
Además, incluso cuando descargan aplicaciones de la tienda oficial de Google, los usuarios deben asegurarse de verificar el número de descargas que tiene la aplicación y prestar especial atención a los comentarios negativos, informa Bakken.
Web de la herramienta: https://www.darkreading.com/
No olvides Compartir...
Siguenos en twitter: @disoftin
0 Comentarios