 |
| Android Triste: Imagen Bimmerfest |
En los primeros troyanos de bloqueo de pantalla para Android, dicha funcionalidad se suele conseguir poniendo constantemente en un primer plano la ventana de pedido de rescate en un bucle infinito.
Aunque se implementaron diversos mecanismos de defensa para bloquearle al usuario el acceso al dispositivo, no era tan difícil deshacerse del malware y desbloquear el dispositivo mediante el uso de la aplicación de línea de comandos Android Debug Bridge (ADB), a través de la desactivación de los derechos de administrador, o desinstalando la aplicación maliciosa en Modo Seguro.
Lamentablemente, los creadores de malware redoblaron sus esfuerzos y, con sus nuevos ransomware de bloqueo para Android, detectados por ESET como Android/Lockerpin.A, los usuarios ya no cuentan con una forma efectiva de recuperar el acceso a sus dispositivos sin los privilegios de raíz o sin una solución de administración de seguridad instalada. Además, tienen que restaurar los valores a fábrica, lo que también borra todos sus datos.
Por otra parte, este ransomware también utiliza una molesta táctica para obtener y preservar los privilegios de administrador del dispositivo con el fin de impedir su desinstalación. Este es el primer caso donde se puede observar este método tan agresivo en un malware para Android.
Análisis de Android/Lockerpin.A
Después de su instalación exitosa, el malware intenta obtener privilegios de administrador del dispositivo. Esta táctica está siendo utilizada cada vez más por los creadores de amenazas para Android, ya que hace que sea más difícil eliminar la infección.
Las primeras versiones de la familia Android/Locker hacen lo mismo que el resto de los troyanos para Android: se basan en la suposición de que el usuario activará voluntariamente los privilegios elevados.
No obstante, en versiones más recientes, el troyano obtiene los derechos de administrador de dispositivos de una manera mucho más encubierta. La ventana de activación queda tapada por la ventana maliciosa del troyano, que se hace pasar por la “instalación de un parche de actualización”.
Cuando la víctima hace clic en esta instalación de aspecto inofensivo, también activa sin saberlo los privilegios de administrador del dispositivo en la ventana subyacente oculta:
Una vez que el usuario hace clic en el botón, su dispositivo ya está condenado: la aplicación del troyano ya obtuvo los derechos de administrador en forma silenciosa y ahora puede bloquear el dispositivo y, lo que es peor, establecer un nuevo PIN para la pantalla de bloqueo.
No mucho después, se le pedirá al usuario que pague un rescate de USD 500 supuestamente por ver y guardar material pornográfico prohibido:
Cuando aparece esta alerta falsa, la pantalla queda bloqueada, en la manera típica de los troyanos bloqueadores de pantalla para Android. El usuario ahora podría desinstalar Android/Lockerpin.A ya sea entrando al Modo Seguro o usando Android Debug Bridge (ADB).
El problema es que, como se restableció el PIN, ni el propietario ni el atacante pueden desbloquear el dispositivo, debido a que el PIN se genera al azar y no se envía al atacante. La única forma práctica de desbloquearlo es restableciendo los valores de fábrica.
El dispositivo ahora se encuentra permanentemente bloqueado y es imposible desbloquearlo sin tener los privilegios de raíz.
Desbloqueo del dispositivo
La única manera de quitar el bloqueo de la pantalla de PIN sin restablecer el dispositivo a valores de fábrica es cuando el usuario tiene acceso root del dispositivo o tiene instalada una solución MDM capaz de restablecer el PIN. Si tiene acceso a la raíz del dispositivo, entonces puede conectarse desde una computadora mediante ADB (Android Debug Bridge) y eliminar el archivo donde se almacena el código de PIN.
Para que esto funcione, el dispositivo debe tener habilitada la opción de depuración; de lo contrario, no será posible (Ajustes -> Opciones de desarrollador -> Depuración de USB). Se puede emplear el siguiente conjunto de comandos para desbloquear el dispositivo:
> adb shell
> su
> rm /data/system/password.key
Después de ejecutar los comandos anteriores, se eliminará el bloqueo de la pantalla con el PIN o la contraseña, y se podrá acceder al dispositivo. En ciertos casos, se necesita reiniciar el dispositivo.
Como conclusion, afortunadamente este ransomware no se ha detectado instalandose desde la Google Play Store si no mas bien desde tiendas de terceros, torrents y algunos foros, te recomendamos, al igual que siempre, no instalar aplicaciones no oficiales o de fuentes desconocidas y proteger tu equipo con alguna solucion de Antivirus.
