¿Cifraron las fotos de tu móvil? Amigo, el ransomware también existe en Android...

Imagina todas las fotos que haces y almacenas en el móvil y que de repente un día dejas de tenerlas y te aparece un infame mensaje en el que te piden dinero por descifrarlas. Esto es sólo un ejemplo porque, efectivamente, el ransomware no es exclusivo de los PCs...

Desde mayo de 2014 se conoce una variante de malware de tipo ransomware bautizada como 'Lockdroid' que es capaz de bloquear o cambiar el PIN de un dispositivo Android e incluso cifrar y borrar los archivos de un dispositivo Android mediante un reset de fábrica.

La nueva variante Android.Lockdroid.E descubierta por Symantec, se distribuye a través de la aplicación "Porn ‘O’ Mania" presente en markets de terceros (los usuarios de Google Play Store están a salvo). Si el usuario es infectado, el ransomware obtendrá root, cifrará los archivos, bloqueará el teléfono y mostrará un mensaje pidiendo un rescate, amenazando además a la víctima con enviar su historial de navegación a todos sus contactos.

Pero sin duda lo que más llama la atención es su forma de instalarse engañando al usuario mediante técnicas de clickjacking, una técnica que ya vimos por ejemplo en la Blackhat hace años y que se ha usado en otro malware como BadAccent: superpone una pantalla (TYPE_SYSTEM_OVERLAY window) para que el usuario pulse un botón de "Continuar" cuando realmente está pulsando al botón para conceder todos los permisos administrativos necesarios a la aplicación maliciosa.

La parte buena es que la posibilidad de mostrar popups secundarios en pantallas de instalación fue eliminada en la versión de Android 5.0 (Lollipop). La mala, que casi el 67% de los terminales con Android todavía utilizan una versión anterior. Así que si eres uno de ellos... ¡¡actualiza!!

Fuentes:
- Android ransomware variant uses clickjacking to become device administrator
- Android Ransomware Threatens to Share Your Browsing History with Your Friends
- "Lockdroid" Ransomware Can Lock Smartphones, Erase Data
- New Android ransomware uses clickjacking to gain admin privileges

Comentarios