Artículo: TrendLabs Security Intelligence BlogMobile Ransomware: Pocket-Sized Badness – TrendLabs Security Intelligence Blog

Dios mio este traductor Google…. Lástima que no tengo tiempo para corregirlo….

http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-ransomware-pocket-sized-badness/

Traducción Google:

Hace unas semanas, hablé en Europa Sombrero Negro 2016 de tamaño de bolsillo para ser malo: ¿Por qué ransomware se presenta como un Vuelco de la trama en el juego del gato-ratón . Mientras ve ransomware móvil desde abril 2015 hasta abril 2016, he notado un gran aumento en el número de muestras ransomware Android.Durante ese año, el número de Android ransomware se incrementó en un 140%. En ciertas áreas, ransomware móvil representa hasta el 22 por ciento del malware móvil en general! (Estas cifras se obtuvieron del Servicio de reputación de Trend Micro Mobile App.) Una tendencia notado durante este tiempo es que refleja fielmente el camino pavimentado por ransomware tradicional: al igual que otros tipos de ransomware, ransomware móvil está en constante evolución y crecimiento.

Esta investigación se inició durante mi tiempo en el Politécnico di Milano ( POLIMI ), y el equipo de investigación de Trend Micro Mobile ha contribuido en gran medida a esta investigación. A continuación se presentan algunos de los aspectos técnicos de prominentes variantes ransomware móviles, junto con técnicas de detección para ayudar a mitigar estas preocupaciones.

Lo que hace que la garrapata móvil ransomware? Cerraduras y miedo

De lo que mis colegas y yo hemos analizado, el bloqueo de la pantalla y asustar a las víctimas a pagar para recuperar el acceso a sus dispositivos es todo lo que se necesita para ser exitoso para ransomware móvil. Vamos a echar un vistazo a las técnicas más interesantes para la pantalla de bloqueo o dispositivo.

Bloqueo de la pantalla

El SMSLocker  familia (detectado como ANDROIDOS_SLOCKER o ANDROIDOS_SMSLOCKER) fue el comienzo de lo que ahora consideramos ransomware Android. Originalmente no utilizar el cifrado, sino que simplemente se ocultó archivos específicos más allá del alcance de los usuarios de todos los días.La variante 2015 de cifrado utilizado con claves por dispositivo, lo que hacía muy difícil crear una «. Desbloqueador» genérico En su mayoría se utiliza SMS para el mando y control (C & C) de comunicación;algunas variantes usan Tor. La mayor contribución que hizo a SLocker ransomware móvil fue el abuso de la interfaz de usuario de Android API para bloquear la pantalla del dispositivo. Esta fue la primera vez que vi el malware tomar el control de un dispositivo que utiliza esta técnica, que se pueden resumir de la siguiente manera en base a la KeyEvent.Callback llamada a la API:

  • Obligar a la devolución de llamada onKeyDown () y / o onBackPressed) ( funciones,
  • Las devoluciones de llamada se activan cada vez que la víctima presiona los botones físicos,
  • De acuerdo con la API, devolviendo «true» para la próxima devolución de llamada en la cadena (es decir, «no se propagan, el evento ha sido procesado ya»), la aplicación evita eficazmente la actividad actual de movimiento en el fondo.

Figura 1. Documentación de la  onKeyDown ()  función en la lista del índice de paquetes Android

ransomware Android ahora comúnmente se utiliza esta técnica para hacer que el dispositivo inutilizable para un usuario inexperto. El reinicio no resuelve necesariamente el problema, sobre todo si la familia de malware utiliza técnicas de persistencia. Sin embargo, un usuario experimentado todavía puede desinstalar la aplicación maliciosa.

La técnica actual de bloqueo del estado de la técnica se basa en abusar de las API del dispositivo de administración. El atacante puede aprovechar para cambiar subrepticiamente el código de acceso con un uno generado de forma aleatoria para bloquear el dispositivo. Mientras que las API del dispositivo de administración tienen un caso de uso legítimo (es decir, lo que permite a las empresas gestionar los dispositivos de sus empleados) que ofrecen una superficie de ataque interesante.

Por ejemplo, la muestra con el hash  a6dedc5f639b2e1f7101d18c08afc66d  (detectado como ANDROIDOS_FAKETOKEN.FCA) utiliza esta técnica. El primer lugar para inspeccionar es el manifiesto, que debe declarar (y pedir permiso para) el uso de los métodos de la API de interés:

Las figuras 2 y 3. Las partes de aplicación de ejemplo manifiesto  en que se solicita el permiso API dispositivo de administración y la política.

El manifiesto anterior es código de ejemplo de la guía de desarrolladores de Android . Si ahondamos en el código (desmontado y descompilada) de la muestra de malware antes mencionado, nos encontramos con esto:

Las figuras 4 y 5. Los fragmentos de código desde el malware

Nos encontramos con una llamada a la lockNow () la función para bloquear el dispositivo, y, en otro método de objeto, una llamada a la removeActiveAdmin ()  función, que es necesaria para «eliminar» aplicación para dispositivo-administración (es decir, el malware). Antes de llamar al lockNow () método, las muestras ransomware normalmente llaman el resetPassword () función, que forzosamente cambiar el código de acceso. LockDroid.E utiliza una contraseña generada al azar, que es esencialmente la información secreta que el criminal envía a las víctimas después de recibir el pago.

La próxima versión de Android, Android 7.0 turrón, tiene una contramedida para esto. Excavar en el código revela que Turrón comprueba si hay un código de acceso ya establecido por el usuario. Si ese es el caso, no hay ningún dispositivo-administrador de aplicaciones, independientemente de si es legítimo o no está permitido cambiar-o reiniciarlo.

Figura 6. Código de Android 7.0 Turrón

Las variantes y técnicas anteriores proporcionan datos sobre cómo los desarrolladores de malware son capaces de bloquear los dispositivos móviles a través de ransomware moderna. Entonces, ¿cómo los atacantes consiguen sus víctimas a pagar?

Cómo ransomware móvil utiliza el miedo para ganar

Cuando se habla de cómo ransomware utiliza el factor miedo, una familia interesante de ver es Koler(detectado como ANDROIDOS_KOLER). A pesar de una familia bastante estándar desde una perspectiva puramente técnica, que utiliza una extensa red de distribución con la localización de unos 60 países. El ransomware obligatoria «advertencia» aparece a la víctima como si estuviera en realidad proviene de las fuerzas del orden locales. Este esfuerzo en la creación de campañas de bien localizadas es, por supuesto, la intención de persuadir a las víctimas a pagar la cuota requerida.

Figura 7. advertencias ransomware en varios idiomas (Click para ampliar)
(Imágenes proporcionadas por Kafeine )

La versión Inglés va en la línea del siguiente ejemplo:

Figura 8. advertencia ransomware Inglés-idioma (Imagen proporcionada por Kafeine )

Esta nota de rescate se acompaña de la pantalla de pago obligatorio, similar a la observada aquí:

Figura 9. pantalla de pago ransomware (Imagen proporcionada por Kafeine )

Otra familia que debe ser mencionado es Svpeng  (detectado como ANDROIDOS_SVPENG). Puede haber comenzado como un troyano bancario, pero las 2.000 muestras que analizamos ahora exhibir las características clásicas de ransomware móvil moderno. Por ejemplo, aquí es cómo funciona la rutina de cifrado:

Figura 10. La obtención de una clase de cifrado

Después de obtener una instancia de la cifra de clase, la muestra recorre todos los archivos que se encuentran en la tarjeta SD y los cifra. Este efecto es similar al ransomware en la plataforma Windows: archivos que han sido almacenados en el dispositivo, son inaccesibles.

Figura 11. La búsqueda y el cifrado de archivos en la tarjeta SD

ransomware móvil ha adaptado las mismas tácticas que hicieron ransomware escritorio un potente amenaza, ganando millones de dólares para las personas responsables. ¿Cómo podemos detectar y bloquear estas amenazas?

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.