Dios mio este traductor Google…. Lástima que no tengo tiempo para corregirlo….
http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-ransomware-pocket-sized-badness/
Traducción Google:
Hace unas semanas, hablé en Europa Sombrero Negro 2016 de tamaño de bolsillo para ser malo: ¿Por qué ransomware se presenta como un Vuelco de la trama en el juego del gato-ratón . Mientras ve ransomware móvil desde abril 2015 hasta abril 2016, he notado un gran aumento en el número de muestras ransomware Android.Durante ese año, el número de Android ransomware se incrementó en un 140%. En ciertas áreas, ransomware móvil representa hasta el 22 por ciento del malware móvil en general! (Estas cifras se obtuvieron del Servicio de reputación de Trend Micro Mobile App.) Una tendencia notado durante este tiempo es que refleja fielmente el camino pavimentado por ransomware tradicional: al igual que otros tipos de ransomware, ransomware móvil está en constante evolución y crecimiento.
Esta investigación se inició durante mi tiempo en el Politécnico di Milano ( POLIMI ), y el equipo de investigación de Trend Micro Mobile ha contribuido en gran medida a esta investigación. A continuación se presentan algunos de los aspectos técnicos de prominentes variantes ransomware móviles, junto con técnicas de detección para ayudar a mitigar estas preocupaciones.
Lo que hace que la garrapata móvil ransomware? Cerraduras y miedo
De lo que mis colegas y yo hemos analizado, el bloqueo de la pantalla y asustar a las víctimas a pagar para recuperar el acceso a sus dispositivos es todo lo que se necesita para ser exitoso para ransomware móvil. Vamos a echar un vistazo a las técnicas más interesantes para la pantalla de bloqueo o dispositivo.
Bloqueo de la pantalla
El SMSLocker familia (detectado como ANDROIDOS_SLOCKER o ANDROIDOS_SMSLOCKER) fue el comienzo de lo que ahora consideramos ransomware Android. Originalmente no utilizar el cifrado, sino que simplemente se ocultó archivos específicos más allá del alcance de los usuarios de todos los días.La variante 2015 de cifrado utilizado con claves por dispositivo, lo que hacía muy difícil crear una «. Desbloqueador» genérico En su mayoría se utiliza SMS para el mando y control (C & C) de comunicación;algunas variantes usan Tor. La mayor contribución que hizo a SLocker ransomware móvil fue el abuso de la interfaz de usuario de Android API para bloquear la pantalla del dispositivo. Esta fue la primera vez que vi el malware tomar el control de un dispositivo que utiliza esta técnica, que se pueden resumir de la siguiente manera en base a la KeyEvent.Callback llamada a la API:
- Obligar a la devolución de llamada onKeyDown () y / o onBackPressed) ( funciones,
- Las devoluciones de llamada se activan cada vez que la víctima presiona los botones físicos,
- De acuerdo con la API, devolviendo «true» para la próxima devolución de llamada en la cadena (es decir, «no se propagan, el evento ha sido procesado ya»), la aplicación evita eficazmente la actividad actual de movimiento en el fondo.
Figura 1. Documentación de la onKeyDown () función en la lista del índice de paquetes Android
ransomware Android ahora comúnmente se utiliza esta técnica para hacer que el dispositivo inutilizable para un usuario inexperto. El reinicio no resuelve necesariamente el problema, sobre todo si la familia de malware utiliza técnicas de persistencia. Sin embargo, un usuario experimentado todavía puede desinstalar la aplicación maliciosa.
La técnica actual de bloqueo del estado de la técnica se basa en abusar de las API del dispositivo de administración. El atacante puede aprovechar para cambiar subrepticiamente el código de acceso con un uno generado de forma aleatoria para bloquear el dispositivo. Mientras que las API del dispositivo de administración tienen un caso de uso legítimo (es decir, lo que permite a las empresas gestionar los dispositivos de sus empleados) que ofrecen una superficie de ataque interesante.
Por ejemplo, la muestra con el hash a6dedc5f639b2e1f7101d18c08afc66d (detectado como ANDROIDOS_FAKETOKEN.FCA) utiliza esta técnica. El primer lugar para inspeccionar es el manifiesto, que debe declarar (y pedir permiso para) el uso de los métodos de la API de interés:
Las figuras 2 y 3. Las partes de aplicación de ejemplo manifiesto en que se solicita el permiso API dispositivo de administración y la política.
El manifiesto anterior es código de ejemplo de la guía de desarrolladores de Android . Si ahondamos en el código (desmontado y descompilada) de la muestra de malware antes mencionado, nos encontramos con esto:
Las figuras 4 y 5. Los fragmentos de código desde el malware
Nos encontramos con una llamada a la lockNow () la función para bloquear el dispositivo, y, en otro método de objeto, una llamada a la removeActiveAdmin () función, que es necesaria para «eliminar» aplicación para dispositivo-administración (es decir, el malware). Antes de llamar al lockNow () método, las muestras ransomware normalmente llaman el resetPassword () función, que forzosamente cambiar el código de acceso. LockDroid.E utiliza una contraseña generada al azar, que es esencialmente la información secreta que el criminal envía a las víctimas después de recibir el pago.
La próxima versión de Android, Android 7.0 turrón, tiene una contramedida para esto. Excavar en el código revela que Turrón comprueba si hay un código de acceso ya establecido por el usuario. Si ese es el caso, no hay ningún dispositivo-administrador de aplicaciones, independientemente de si es legítimo o no está permitido cambiar-o reiniciarlo.
Figura 6. Código de Android 7.0 Turrón
Las variantes y técnicas anteriores proporcionan datos sobre cómo los desarrolladores de malware son capaces de bloquear los dispositivos móviles a través de ransomware moderna. Entonces, ¿cómo los atacantes consiguen sus víctimas a pagar?
Cómo ransomware móvil utiliza el miedo para ganar
Cuando se habla de cómo ransomware utiliza el factor miedo, una familia interesante de ver es Koler(detectado como ANDROIDOS_KOLER). A pesar de una familia bastante estándar desde una perspectiva puramente técnica, que utiliza una extensa red de distribución con la localización de unos 60 países. El ransomware obligatoria «advertencia» aparece a la víctima como si estuviera en realidad proviene de las fuerzas del orden locales. Este esfuerzo en la creación de campañas de bien localizadas es, por supuesto, la intención de persuadir a las víctimas a pagar la cuota requerida.
Figura 7. advertencias ransomware en varios idiomas (Click para ampliar)
(Imágenes proporcionadas por Kafeine )
La versión Inglés va en la línea del siguiente ejemplo:
Figura 8. advertencia ransomware Inglés-idioma (Imagen proporcionada por Kafeine )
Esta nota de rescate se acompaña de la pantalla de pago obligatorio, similar a la observada aquí:
Figura 9. pantalla de pago ransomware (Imagen proporcionada por Kafeine )
Otra familia que debe ser mencionado es Svpeng (detectado como ANDROIDOS_SVPENG). Puede haber comenzado como un troyano bancario, pero las 2.000 muestras que analizamos ahora exhibir las características clásicas de ransomware móvil moderno. Por ejemplo, aquí es cómo funciona la rutina de cifrado:
Figura 10. La obtención de una clase de cifrado
Después de obtener una instancia de la cifra de clase, la muestra recorre todos los archivos que se encuentran en la tarjeta SD y los cifra. Este efecto es similar al ransomware en la plataforma Windows: archivos que han sido almacenados en el dispositivo, son inaccesibles.
Figura 11. La búsqueda y el cifrado de archivos en la tarjeta SD
ransomware móvil ha adaptado las mismas tácticas que hicieron ransomware escritorio un potente amenaza, ganando millones de dólares para las personas responsables. ¿Cómo podemos detectar y bloquear estas amenazas?
Latest posts by Jose Miguel (see all)
- Artículo: Guía completa de seguridad en el uso de redes Wi-Fi en entornos empresariales y públicos. - 23 septiembre, 2024
- Artículo: Cómo reaccionar ante un ataque de Phishing: Guía para Usuarios Empresariales - 20 septiembre, 2024
- Artículo: Guía básica para la gestión de contraseñas y usuarios en navegadores populares. - 20 septiembre, 2024
- Artículo: La importancia de las copias de seguridad en la ámbito empresarial: Guía Práctica. - 18 septiembre, 2024
- Artículo: Mejorando la ciberseguridad en el entorno laboral: Guía práctica para Empleados. - 16 septiembre, 2024