Todos nos hemos topado con la palabra ransomwarealguna vez, ya que es algo que da que hablar constantemente. Para aquellos que no lo conocen, se trata de un tipo de malware que se encarga de secuestrar un dispositivo con un método característico: cifrando los archivos con una clave secreta. Una extorsión que obliga al usuario a pagar un rescate económico para desbloquearlo; habitualmente mediante una criptomoneda. Incluso pagando el rescate existen casos en los que no puede recuperarse la información, ya que o nunca llegan a proporcionar la clave una vez hecho el pago o esta es inservible.
A pesar de ello, no se le muestra suficiente atención en Android, siendo aun el ordenador de sobremesa o servidor el objetivo habitual, posiblemente por razones estrictamente achacables al retorno de inversión. En este breve estudio, veremos si deberíamos, o no, preocuparnos por este tipo de malware en dispositivos móviles. Y constataremos como se está consolidando como una plataforma lucrativa para los creadores de ransomware.
Haciendo uso de una recolección de datos de seis meses, podemos observar como éste último muestra un aumento muy significativo. A pesar de fluctuar en los distintos meses, podemos apreciar un incremento en este tipo de malware en Android, e incluso como hemos podido llegar a ver este ha afectado a las versiones de Android TV, unos dispositivos muy particulares para los que se debe reorientar la programación del malware para aprovechar las características de este tipo de sistemas o adaptar los vectores de infección.
De entre todas las muestras recolectadas durante los últimos seis meses en Koodous, confirmadas como ransomware, se ha efectuado una clasificación mediante un algoritmo de agrupamiento. Así, se pueden observar cinco grandes grupos basados en la extracción de particularidades en su comportamiento. Estas muestras se nos pueden presentar de distintas formas, ya sea con diferentes iconos, nombres de paquete o nombres de aplicación, sin embargo, poseen un cuerpo de características comunes muy significativo.
Estamos por tanto frente a un auge de esta familia de malware en Android. Es de esperar un crecimiento tanto vertical en el número de detecciones e infecciones exitosas como de una ramificación grupal en base a su “modus operandi“, debido a la evolución de este tipo de malware o a nuevos grupos de creadores de malware que progresivamente van adaptándose a la plataforma móvil Android.
¿Cómo evitamos este tipo de malware? Ya hemos advertido muchas veces desde Una-al-día que no existen balas de plata. Todo está expuesto y todos estamos expuestos al comportamiento dañino de un código que termina haciendo aquello que menos esperamos cuando aceptamos su instalación. De nuevo, las medidas son los principios básicos: sentido común como nuestra mejor defensa y una red de seguridad si nos falla nuestro ojo clínico, nuestra propuesta: Koodous, un antivirus ideado por y para la comunidad.
Fernando Díaz
Hola. No decís en el artículo si todo ese ransomware que hay por ahí se encuentra en repositorios android oficiales (Play Store, básicamente) o se encuentra sólo en repositorios no oficiales. Creo que es un detalle muy importante. Gracias.
Buenas potele,
existen muestras como https://koodous.com/apks/f40aa343a50091f673f8d76bc03a953186362bb5fbd0fa6523a362d5fbd487c9/analysis que han estado en la Play Store y han sido retiradas una vez han sido localizadas. La gran mayoria se encuentran en repositorios no oficiales, pero también pueden colarse a veces dentro de la Store.