SLocker: el ransomware para celulares que imita a WannaCry

SLocker es uno de los ransomware más antiguos de cifrado de archivos y de bloqueo de la pantalla del celular que se utiliza para hacerse pasar por organismos y fuerzas de seguridad y convencer a las víctimas de que paguen el rescate que se les solicita. Sin embargo, este ransomware llevaba años de escasa actividad, y, de repente ha experimentado un resurgimiento.

La variante de SLocker analizada por los expertos de Trend Micro destaca por ser un ransomware de cifrado de archivos de Android y parece tener similitudes con WannaCry, el ya famoso ransomware que puso en tela de juicio la seguridad en multitud de empresas hace casi dos meses.

Si bien esta variante SLocker se caracteriza por ser capaz de cifrar archivos en móviles, su trayectoria ha sido bastante breve. Poco después de que el ransomware surgiera a la luz, se publicaron herramientas de descifrado. Y en poco tiempo, se encontraron más variantes. Cinco días después de su detección inicial, el sospechoso que supuestamente era responsable del ransomware fue arrestado por la policía china. Por suerte, debido a que se extendió principalmente a través de foros como los grupos QQ y los sistemas de tablón de anuncios (BBS, por sus siglas en inglés), el número de víctimas fue muy bajo.

La muestra original capturada por Trend Micro fue nombrada “王者 荣耀 辅助” (King of Glory Auxiliary), y se hacía pasar por una herramienta de trucos para el juego King of Glory. Cuando se instalaba, su apariencia era similar a WannaCry, sirviendo como fuente de inspiración a algunos imitadores.

Captura movil wannacry

Este ransomware se camufla bajo la apariencia de guías de juego, reproductores de vídeo, etc. para atraer a los usuarios a su instalación. Pero una vez ejecutado, la aplicación cambia el icono inicial y el nombre, junto con el fondo de pantalla del dispositivo infectado.

¿Cómo cifra archivos el ransomware?

Cuando el ransomware se instala, comprobará si se ha ejecutado antes. Si no es así, generará un número aleatorio y lo almacenará en SharedPreferences, que es donde se guardan los datos permanentes de la aplicación. A continuación, localizará el directorio de almacenamiento externo del dispositivo e iniciará un nuevo hilo o subproceso.

Este hilo primero pasará por el directorio de almacenamiento externo para encontrar archivos que cumplan con requisitos específicos:

  • Las rutas en minúsculas de los archivos de destino no deben contener “/.”, “android”, “com” y “miad”.
  • Con el almacenamiento externo como directorio raíz, los archivos de destino deben estar en directorios cuyo nivel de directorio sea inferior a 3 o que las rutas de archivo en minúsculas contengan “baidunetdisk”, “download” o “dcim”.
  • El nombre de archivo debe contener “.” y la longitud de byte del nombre del archivo cifrado debe ser inferior a 251.
  • El archivo debe tener más de 10 KB y menos de 50 MB

Trend Micro observó que el ransomware evitaba el cifrado de los archivos del sistema centrándose en los archivos descargados e imágenes, y solo cifraba los archivos que tenían sufijos (archivos de texto, imágenes, videos). Al encontrar un archivo que cumple con todos los requisitos, el hilo utiliza ExecutorService (una alternativa para Java para ejecutar tareas asíncronas) para ejecutar una nueva tarea que genera una codificación basada en el número aleatorio generado previamente. Después, el ransomware construye la clave final para AES y cifra los archivos.

El ransomware se presenta a las víctimas con tres opciones para pagar el rescate, pero en la muestra analizada por Trend Micro, las tres llevaron al mismo código QR que pide a las víctimas que paguen a través de QQ (un servicio de pago por celular muy popular en China). Si las víctimas se niegan a pagar después de tres días, el precio del rescate aumenta, amenazando al usuario con la eliminación de todos los archivos después de una semana.

opciones de pago

El ransomware también avisa a las víctimas de que recibirán una clave de descifrado una vez hayan pagado el rescate. En su análisis, Trend Micro encontró que, si las víctimas introducen la clave y hacen clic en el botón Descifrar, el ransomware compara la clave de entrada con el valor en MainActivity.m. Pero después de localizar MainActivity.m, encontramos que el valor es realmente el número aleatorio mencionado anteriormente más 520. Usando esto como clave y haciendo clic en el botón Descifrar descodificará los archivos.

Surgen nuevas variantes

Después de que el ransomware inicial fuera expuesto, han aparecido más variantes. La rápida proliferación de nuevas variantes después de la primera, muestra que quienes están detrás de este malware no están ralentizando su actividad. A pesar de que un sospechoso fue capturado, cada vez aparece más ransomware avanzado.

Para mantener la información segura en los dispositivos móviles, es importante seguir estos consejos:

  • Solo instalar aplicaciones descargadas de app stores legítimas, como Google Play
  • Tener cuidado con los permisos que solicita una aplicación, especialmente los permisos que permiten a la aplicación leer / escribir en un almacenamiento externo
  • Realizar copias de seguridad de los datos con regularidad, ya sea en otro dispositivo seguro o almacenada en la nube
  • Instalar soluciones antivirus integrales. Las soluciones de seguridad móvil, bloquean las amenazas de las app stores antes de que se puedan instalar y causen daños a los dispositivos.

Alternativas en Computación tiene el conocimiento y las herramientas para ayudar a su empresa a prevenir y mitigar el riesgo que representa ransomware.

¡Si deseas agendar una cita, por favor déjanos tus datos!

Fuente: Globsecurity

Leave A Comment