Etiqueta: Lollipop

Ataque de malvertising infecta con ransomware versiones viejas de Android

Hackers han logrado con el uso con dos conocidas vulnerabilidades para instalar silenciosamente ransomware en dispositivos Android con versiones viejas.

Unos ciberdelincuentes est谩n utilizando dos conocidas vulnerabilidades para instalar silenciosamente ransomware en dispositivos viejos de Android. De esta manera, instalan su propio buscador para que les lleve a sitios web donde les esperan a las v铆ctimas anuncios maliciosos.

Los ataques basados en web, que se aprovechan de las vulnerabilidades de un buscador o de los plug-in para instalar malware, son muy comunes computadoras con Windows, pero no lo eran en Android hasta este momento; esto se debe a que la seguridad del modelo de aplicaci贸n es m谩s fuerte por lo general.

Un grupo de investigaci贸n de Blue Coat Systems han detectado que el nuevo ataque drive-by contra Android ha infectado uno de sus dispositivos de prueba, una tableta Samsung que emplea CyanogenMod 10.1 basado en Android 4.2.2.

鈥淓sta es la primera vez, que yo sepa, que un exploit kit ha podido instalar con 茅xito aplicaciones maliciosas en un dispositivo m贸vil sin interacci贸n alguna con la v铆ctima, es decir, el usuario鈥, ha explicado Andrew Brandt, director de investigaci贸n de amenazas en Blue Coat. 鈥淒urante el ataque, el dispositivo no implement贸 el di谩logo de permisos de aplicaciones normales que precede a la instalaci贸n de cualquier aplicaci贸n en Android鈥.

La investigaci贸n continu贸 con la ayuda de Zimperium, los analistas pudieron comprobar que el anuncio malicioso conten铆a c贸digo JavaScript, el cual se aprovechaba de una vulnerabilidad en libxslt. Este agujero de seguridad en libxslt es uno de los archivos filtrados el a帽o pasado desde un software de vigilancia del grupo Hacking Team.

Si tiene 茅xito, el agujero de seguridad permite ejecutar un ELF llamado module.so en dispositivo, de forma que este tambi茅n se aprovecha de otra vulnerabilidad para conseguir acceso de administrador, el mayor nivel de privilegios en un sistema: esta vulnerabilidad en la ra铆z se conoce como Towelroot, y se conoci贸 en 2014. Despu茅s de que el dispositivo se vea comprometido, Towelroot descarga e instala un archivo APK (Android Application Package) que en realidad es un programa de ransomware llamado Dogspectus o Cyber.Police.

Afortunadamente la investigaciones se帽alan que esta aplicaci贸n no encripta los archivos del usuario, como hacen otros programas de ransomware. En su lugar, despliega una amenaza falsa alegando que agencias federales han detectado actividad ilegal en el equipo, y que el usuario debe pagar una multa.

La aplicaci贸n bloquea a las v铆ctimas para que no puedan hacer nada m谩s hasta que no paguen la falsa multa o hagan un reseteado de f谩brica, aunque esta 煤ltima opci贸n borrar铆a todos los archivos del dispositivo, por lo que es mejor conectarlo a una computadora y salvarlos primero.

Seg煤n ha comentado Brand, 鈥渆l problema es que con este sistema todos los dispositivos antiguos que no hayan actualizado a la 煤ltima versi贸n de Android, son susceptibles de sufrir este tipo de ataque鈥. Por ello, los expertos siempre aconsejan actualizar los sistemas cuando sale una versi贸n nueva, ya que suelen ir parcheando las vulnerabilidades que se descubren, aunque Android tiene el problema de la fragmentaci贸n de versi贸n en versi贸n.

Redacci贸n