Ransomware para Android se esconde en una versión fraudulenta del juego King of Glory

ActualidadMalwareSmartphonesAndroidRansomware

Ransomware para Android se esconde en una versión fraudulenta del juego King of Glory

Una copia fraudulenta del popular juego chino King of Glory se está usando para distribuir ransomware y emplea un look similar al de WannaCry.

Salvo por esa semejanza en la forma de presentarse, este ransomware no tiene nada en común con WannaCry. Pero dado que King of Glory tiene millones de jugadores, es un serio problema en si mismo.

Primeros síntomas del problema

Después de ejecutar la app fraudulenta, esta oculta el icono original y reaparece como “Lycorisradiata” (la flor del infierno):

La pantalla de inicio cambia añadiendo un ID posiblemente relacionado con el autor del malware:

Infección y cifrado

El ransomware cifra los ficheros del dispositivo y los renombra añadiendo extensiones extremadamente largas como la siguiente:

El código del cifrado es similar a este:

El ransomware intenta evitar cifrar archivos del sistema (porque la víctima no puede pagar desde un móvil que no funciona) buscando nombres de ficheros que incluyan cadenas de texto como “/.”, “android” o “com.”

El aspecto de WannaCry

Las ventanas del ransomware se parecen mucho a las que hemos visto del ransomware para Windows WannaCry. Pero en vez de pedir el pago en bitcoins, se pide 20 RMB:

Y, para poder comparar, este es el aspecto de los mensajes de WannaCry:

El falso juego intenta asustar al usuario con un mensaje amenazante:

Recomendamos encarecidamente, para evitar problemas mayores, que se detenga cualquier anti-virus y no eliminar o desinstalar este software hasta que se termine el proceso de recuperación. Puede que no podamos restaurar los archivos después de haber realizado el pago si se elimina este software.

Ofrecen tres modos de pago del rescate a través de webs chinas como Wechat, Alipay y QQ:

No sabemos porque los criminales que han creado este malware copiando el aspecto de WannaCry. Puede que sea porque sean vagos o simplemente porque buscaban la fama.

WannaCry secuestró a cientos de miles de ordenadores en todo el mundo el mes pasado. SophosLabs cree que posiblemente no comenzó de la manera típica que lo suele hacer el ransomware, es decir, un ataque de phishing por correo electrónico que adjunte algún fichero malicioso o un enlace a una web comprometida. Wannacry comenzó y se comportó como un gusano con una carga de ransomware.

En el caso de esta amenaza, la única similitud es el aspecto. Mientras que WannaCry atacaba una vulnerabilidad de Windows y se extendía dado sus capacidades de gusano, esta amenaza se propaga por foros de juegos y se descarga e instala por jugadores que no sospechan del problema.

¿Cómo protegerse?

Los usuarios de Sophos están protegido contra esta amenaza que es detectada como Andr/Ransom-EAC. Nuestros consejos para proteger un dispositivo Android son:

  • Usar Google Play. Sabemos que no es una plataforma perfecta pero Google se esfuerza en chequear la seguridad de las apps en Play Store
  • Considera instalar un anti-virus.
  • Evita apps con baja reputación.
  • Actualiza todo y tan a menudo como puedas.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s