Un nuevo ransomware descubierto por Check Point amenaza a los usuarios del teléfono móvil infectado y exige exige el pago de una cantidad de dinero a cambio de no vender su información personal en los mercados negros de Internet. Un chantaje que demanda una cantidad de 0.2 Bitcoin a cambio de no publicar estos datos, unos 165 euros.  Curiosamente el ransomware no se activa si el propietario del teléfono es de países como Rusia, Bielorrusia o Ucrania.





El ransomware, una vez que infecta un equipo, es capaz de bloquearlo de forma que el usuario no pueda acceder a él, o cifrar los archivos para que no puedan ser leídos. Una forma de ataque que se ha hecho cada vez más popular en los dos últimos años. Pero, contrariamente a lo que los usuarios suelen pensar, no es un ataque exclusivo para ordenadores. Los smartphone y dispositivos móviles también son víctimas de este tipo de ataques. Este es el caso de “Charger” un ransomware que afecta a dispositivos Android.

Hace varias semanas, Check Point Mobile Threat Prevention detectó y puso en cuarentena al dispositivo Android de un empleado de cliente desprevenido que descargó e instaló un 0-day ransomware móvil d de Google Play denominado "Charger".





Charger se encontró incrustado en una aplicación llamada EnergyRescue. La aplicación infectada roba contactos y mensajes SMS desde el dispositivo del usuario y solicita permisos de administrador. Si se concede, el ransomware bloquea el dispositivo y muestra un mensaje exigiendo pago:

You need to pay for us, otherwise we will sell portion of your personal information on black market every 30 minutes. WE GIVE 100% GUARANTEE THAT ALL FILES WILL RESTORE AFTER WE RECEIVE PAYMENT. WE WILL UNLOCK THE MOBILE DEVICE AND DELETE ALL YOUR DATA FROM OUR SERVER! TURNING OFF YOUR PHONE IS MEANINGLESS, ALL YOUR DATA IS ALREADY STORED ON OUR SERVERS! WE STILL CAN SELLING IT FOR SPAM, FAKE, BANK CRIME etc… We collect and download all of your personal data. All information about your social networks, Bank accounts, Credit Cards. We collect all data about your friends and family.

El texto del ransomware que aparece en las pantallas de las víctimas en español:

Usted tiene que pagarnos, de lo contrario iremos vendiendo su información personal en el mercado negro cada 30 minutos. GARANTIZAMOS AL 100% QUE TODOS SUS ARCHIVOS SE RESTAURARÁN DESPUÉS DE RECIBIR EL PAGO. ¡DESBLOQUEAREMOS EL DISPOSITIVO MÓVIL Y ELIMINAREMOS TODOS SUS DATOS DE NUESTRO SERVIDOR! ¡APAGAR SU TELÉFONO NO SERVIRÁ DE NADA, TODOS SUS DATOS ESTÁN ALMACENADOS EN NUESTROS SERVIDORES! TODAVÍA PODEMOS VENDERLOS PARA SPAM, FALSIFICAR SU IDENTIDAD, COMETER  CRÍMENES BANCARIOS, etc. Recolectamos y descargamos todos sus datos personales. Tenemos toda la información sobre sus redes sociales, cuentas bancarias, tarjetas de crédito. Recopilamos todos los datos sobre sus amigos y familiares.

La demanda de rescate por 0.2 Bitcoins (aproximadamente 180$) es una demanda de rescate mucho más alta que la que se ha visto en los rescates móviles hasta ahora. En comparación, el ransomware de DataLust demandaba sólo 15$. Los pagos se hacen a una cuenta Bitcoin específica, pero no hemos identificado ningún pago hasta ahora.

Adware comúnmente encontrado en Play recauda beneficios de las redes publicitarias, pero ransomware móvil inflige daño directo a los usuarios. Al igual que FakeDefender y DataLust, Charger podría ser un indicador de un esfuerzo más amplio de los desarrolladores de malware móviles para ponerse al día con sus primos de ransomware de PC.

Similar a otros programas maliciosos vistos en el pasado, Charger comprueba la configuración local del dispositivo y no ejecuta su lógica maliciosa si el dispositivo se encuentra en Ucrania, Rusia o Bielorrusia. Esto se hace probablemente para evitar que los desarrolladores sean procesados en sus propios países o sean extraditados entre países.

La mayoría de los programas maliciosos que se encuentran en Google Play contienen sólo un cuentagotas que posteriormente descarga los componentes maliciosos reales en el dispositivo. Charger, sin embargo, utiliza un método de embalaje pesado que es más difícil para el malware para permanecer ocultos, por lo que debe compensar con otros medios. Los desarrolladores de Charger le dieron todo lo que tenían para aumentar sus capacidades de evasión y para que pudiera permanecer oculto en Google Play durante el mayor tiempo posible.


El malware utiliza varias técnicas avanzadas para ocultar sus intenciones reales y hace que sea más difícil de detectar.

• Codifica cadenas en matrices binarias, lo que dificulta inspeccionarlas.
• Carga código de recursos cifrados dinámicamente, que la mayoría de los motores de detección no pueden penetrar e inspeccionar. El código cargado dinámicamente también está inundado con comandos sin sentido que enmascaran los comandos reales que pasan.
• Comprueba si se está ejecutando en un emulador antes de que comience su actividad maliciosa. El malware para PC introdujo por primera vez esta técnica que se está convirtiendo en una tendencia en el malware móvil que ha sido adoptada por varias familias de malware incluyendo Dendroid.

Fuentes:
http://globbsecurity.com/charger-ransomware-android-chantajea-las-victimas-vender-informacion-personal-40617/
http://blog.checkpoint.com/2017/01/24/charger-malware/