El ataque de ransomware de Android engaña al FBI con acusaciones de pornografía


El ataque acusa a las víctimas de poseer pornografía, encripta todos los archivos en el dispositivo y luego les ordena pagar una multa para desbloquear los datos, según Look at Position Analysis.

Los ataques de ransomware generalmente siguen el mismo libro de jugadas. El atacante encripta o bloquea archivos confidenciales en su computadora o dispositivo y exige un rescate para desbloquearlos. En la mayoría de los casos, los delincuentes detrás del ataque no intentan enmascarar su identidad, confiando en su capacidad de convencer a suficientes personas para pagar el rescate. Pero una nueva campaña de malware analizada por el proveedor de inteligencia de amenazas cibernéticas Check out Level Research engaña al FBI para dar un aire de legitimidad a la demanda de rescate.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

en un publicación de weblog publicada el martes, Check Point reveló los detalles detrás de una botnet Malware-as-a-Support (MaaS) conocida como Black Rose Lucy. Originalmente visto por Examine Stage en septiembre de 2018, Lucy actúa como un gotero para propagar malware y tomar el regulate de los dispositivos Android.

Después de una infección exitosa en un dispositivo Android, Lucy cifra los archivos y luego muestra una nota de rescate en una ventana del navegador. Esta nota dice ser un mensaje oficial del FBI que acusa a la víctima de deber y almacenar pornografía.

Más allá de encriptar los datos y bloquear el dispositivo, el atacante advierte que los detalles de este delito han sido enviados al Centro de Datos del Departamento de Delitos Cibernéticos del FBI. Para recuperar el control del dispositivo, se le pide a la víctima que pague una multa de $ 500 con una tarjeta de crédito.

lucy-ransomware-check-point.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/04/28/8694af9d-7ca1-4102-b455-19dfe1309e6a/resize/770x/731832e8ce7ee2f01649d1b85c667767 /lucy-ransomware-check-point.jpg

Imagen: Check Level Analysis

En su análisis, Check out Issue encontró más de 80 muestras de este ataque distribuidas principalmente a través de enlaces de redes sociales y aplicaciones de mensajería. Haciéndose pasar por aplicaciones normales de reproductor de video, estas muestras pueden controlar dispositivos infectados explotando el Servicio de accesibilidad de Android, que está diseñado para ayudar a las personas con discapacidades mediante la automatización de ciertas interacciones del usuario. Para lanzar el ataque, Lucy pide a los usuarios que habiliten Streaming Movie Optimization (SVO). Esto le da permiso a la botnet para usar el servicio de accesibilidad, lo que le permite encriptar archivos en el dispositivo.

El código del malware apunta a cuatro servidores cifrados de comando y manage (C&C) diferentes que pueden comunicarse con Lucy. Los servidores de C&C se codifican como nombres de dominio en lugar de direcciones IP, lo que significa que cualquier servidor desconectado puede reactivarse simplemente tomando una dirección IP diferente. El código indica una gama de comandos que los servidores de C&C pueden emitir sin el conocimiento o permiso del usuario, incluidos los que permiten ver todos los directorios del dispositivo para cifrar archivos, descifrar archivos si se paga el rescate, rechazar el pago y eliminar el malware del dispositivo

«Estamos viendo una evolución en el ransomware móvil», dijo el gerente de Check out Point de Mobile Investigate Aviran Hazum en un comunicado de prensa. «El malware móvil es más sofisticado, más eficiente. Los actores de amenazas están aprendiendo rápido, basándose en su experiencia de campañas pasadas. La imitación del FBI es una táctica de miedo clara. Tarde o temprano, anticipamos que el mundo móvil experimentará un gran ataque destructivo de ransomware». Es una posibilidad aterradora pero muy true. Instamos a todos a pensar dos veces antes de aceptar o habilitar cualquier cosa mientras navegan video clips en las redes sociales «.

Para protegerse contra el malware móvil, Hazum aconseja a las personas que instalen un producto de seguridad en su dispositivo, usen solo tiendas y mercados oficiales de aplicaciones, y siempre mantengan actualizado el sistema operativo y las aplicaciones.

Ver también

Ransomware "src =" https://tr4.cbsistatic.com/hub/i/r/2020/02/26/c13cbb22-502e-40dd-93b5-ae7331264d86/resize/770x/26f765f2628c6e6dbf032a727740e870/istock-585302424.jpg

Imagen: kaptnali, Getty Illustrations or photos / iStockphoto



Enlace a la noticia initial