Noticias y Nuevos Productos

Ataque de malvertising infecta con ransomware versiones viejas de Android

Ataque de malvertising infecta con ransomware versiones viejas de Android
Hackers han logrado con el uso con dos conocidas vulnerabilidades para instalar de forma silenciosa ransomware en dispositivos Android con versiones viejas.

Unos ciberdelincuentes están utilizando dos conocidas vulnerabilidades para instalar silenciosamente ransomware en dispositivos viejos de Android. De esta manera, instalan su propio buscador para que les lleve a webs donde les esperan a las víctimas anuncios maliciosos.

Los ataques basados en web, que se aprovechan de las vulnerabilidades de un buscador o de los plug-in para instalar malware, son muy comunes computadoras con Windows, pero no lo eran en Android hasta este momento; esto se debe a que la seguridad del modelo de aplicación es más fuerte por lo general.

Un grupo de investigación de Blue Coat Systems han detectado que el nuevo ataque drive-by contra Android ha infectado uno de sus dispositivos de prueba, una tableta Samsung que emplea CyanogenMod 10.1 basado en Android 4.2.2.

“Esta es la primera vez, que yo sepa, que un exploit kit ha podido instalar con éxito aplicaciones maliciosas en un dispositivo móvil sin interacción alguna con la víctima, es decir, el usuario”, ha explicado Andrew Brandt, director de investigación de amenazas en Blue Coat. “Durante el ataque, el dispositivo no implementó el diálogo de permisos de aplicaciones normales que precede a la instalación de cualquier aplicación en Android”.

La investigación continuó con la ayuda de Zimperium, los analistas pudieron comprobar que el anuncio malicioso contenía código JavaScript, el cual se aprovechaba de una vulnerabilidad en libxslt. Este agujero de seguridad en libxslt es uno de los archivos filtrados el año pasado desde un software de vigilancia del grupo Hacking Team.

Si tiene éxito, el agujero de seguridad permite ejecutar un ELF llamado module.so en dispositivo, de forma que este también se aprovecha de otra vulnerabilidad para conseguir acceso de administrador, el mayor nivel de privilegios en un sistema: esta vulnerabilidad en la raíz se conoce como Towelroot, y se conoció en 2014. Después de que el dispositivo se vea comprometido, Towelroot descarga e instala un archivo APK (Android Application Package) que en realidad es un programa de ransomware llamado Dogspectus o Cyber.Police.

Afortunadamente la investigaciones señalan que esta aplicación no encripta los archivos del usuario, como hacen otros programas de ransomware. En su lugar, despliega una amenaza falsa alegando que agencias federales han detectado actividad ilegal en el equipo, y que el usuario debe pagar una multa.

La aplicación bloquea a las víctimas para que no puedan hacer nada más hasta que no paguen la falsa multa o hagan un reseteado de fábrica, aunque esta última opción borraría todos los archivos del dispositivo, por lo que es mejor conectarlo a una computadora y salvarlos primero.

Según ha comentado Brand, “el problema es que con este sistema todos los dispositivos antiguos que no hayan actualizado a la última versión de Android, son susceptibles de sufrir este tipo de ataque”. Por ello, los expertos siempre aconsejan actualizar los sistemas cuando sale una versión nueva, ya que suelen ir parcheando las vulnerabilidades que se descubren, aunque Android tiene el problema de la fragmentación de versión en versión.

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>