Todos
nos hemos topado con la palabra ransomware
alguna vez, ya que es algo que da que hablar constantemente. Para aquellos que
no lo conocen, se trata de un tipo de malware que se encarga de secuestrar un
dispositivo con un método característico: cifrando los archivos con una clave
secreta. Una extorsión que obliga al usuario a pagar un rescate económico para
desbloquearlo; habitualmente mediante una criptomoneda. Incluso pagando el
rescate existen casos en los que no
puede recuperarse la información, ya que o nunca llegan a proporcionar la
clave una vez hecho el pago o esta es inservible.
A pesar de ello, no se le muestra
suficiente atención en Android, siendo aun el ordenador de sobremesa o servidor
el objetivo habitual, posiblemente por razones estrictamente achacables al
retorno de inversión. En este breve estudio, veremos si deberíamos, o no,
preocuparnos por este tipo de malware en dispositivos móviles. Y constataremos como
se está consolidando como una plataforma lucrativa para los creadores de ransomware.
Haciendo uso de una recolección
de datos de seis meses, podemos observar como éste último muestra un aumento
muy significativo. A pesar de fluctuar en los distintos meses, podemos apreciar
un incremento en este tipo de malware en Android, e incluso como hemos podido
llegar a ver este ha afectado a las versiones de Android TV, unos dispositivos
muy particulares para los que se debe reorientar la programación del malware
para aprovechar las características de este tipo de sistemas o adaptar los
vectores de infección.
De entre todas las muestras
recolectadas durante los últimos seis meses en Koodous, confirmadas como ransomware,
se ha efectuado una clasificación mediante un algoritmo de agrupamiento. Así,
se pueden observar cinco grandes grupos basados en la extracción de
particularidades en su comportamiento. Estas muestras se nos pueden presentar
de distintas formas, ya sea con diferentes iconos, nombres de paquete o nombres
de aplicación, sin embargo, poseen un cuerpo de características comunes muy
significativo.
Estamos por tanto frente a un
auge de esta familia de malware en Android. Es de esperar un crecimiento tanto vertical
en el número de detecciones e infecciones exitosas como de una ramificación
grupal en base a su "modus operandi",
debido a la evolución de este tipo de malware o a nuevos grupos de creadores de
malware que progresivamente van adaptándose a la plataforma móvil Android.
¿Cómo evitamos este tipo de
malware? Ya hemos advertido muchas veces desde Una-al-día que no existen balas
de plata. Todo está expuesto y todos estamos expuestos al comportamiento dañino
de un código que termina haciendo aquello que menos esperamos cuando aceptamos
su instalación. De nuevo, las medidas son los principios básicos: sentido común
como nuestra mejor defensa y una red de seguridad si nos falla nuestro ojo
clínico, nuestra propuesta: Koodous, un antivirus ideado por y para la
comunidad.
Fernando Díaz
Hola. No decís en el artículo si todo ese ransomware que hay por ahí se encuentra en repositorios android oficiales (Play Store, básicamente) o se encuentra sólo en repositorios no oficiales. Creo que es un detalle muy importante. Gracias.
ResponderEliminarBuenas potele,
Eliminarexisten muestras como https://koodous.com/apks/f40aa343a50091f673f8d76bc03a953186362bb5fbd0fa6523a362d5fbd487c9/analysis que han estado en la Play Store y han sido retiradas una vez han sido localizadas. La gran mayoria se encuentran en repositorios no oficiales, pero también pueden colarse a veces dentro de la Store.