Los investigadores de Blue Coat Systems han detectado una campaña de un grupo de cibercriminales que están utilizando dos conocidas vulnerabilidades de viejas versiones de Android para instalar ransomware en los dispositivos que aún operen con el sistema operativo. Lo que buscan es instalar un sistema de búsquedas creado por los cibercriminales, para que cuando el usuario realice una consulta, sea llevado a sitios web con anuncios maliciosos.
El sistema de infección es mediante ataques basados en web, estos hacen uso de las vulnerabilidades de un buscador o de los complementos (plug-in) para instalar el malware, caso muy utilizado en los equipos con Windows, pero hasta ahora no se había presentado algo similar en Android. Gracias a la seguridad del modelo de aplicación, dichas vulnerabilidades están salvo en los nuevos terminales.
Luego de largas pruebas, los investigadores de Blue Coat Systems pudieron detectar un ataque drive-by contra uno de los dispositivos de prueba que estaban utilizando, una tablet Samsung que operaba bajo Cyanogenmod 10.1 con Android 4.2.2. La versión en cuestión todavía es utilizada por la gran mayoría de dispositivos de gama media/baja, por lo que afecta a gran parte de la población mundial.
“Esta es la primera vez, que yo sepa, que un exploit kit ha podido instalar con éxito aplicaciones maliciosas en un dispositivo móvil sin interacción alguna con la víctima, es decir, el usuario”, comentaba Andrew Brandt, director de investigación de amenazas en Blue Coat. También explicaba que en el momento del ataque el dispositivo no le preguntó sobre los permisos que tendría, algo normal cuando instalamos una nueva aplicación en nuestro dispositivo Android.
Yendo más a fondo con la investigación, con la ayuda de otra firma llamada Zimperium, los investigadores de seguridad pudieron saber que el anuncio malicioso contenía código JavaScript, que se aprovechaba de una vulnerabilidad en libxslt. El mismo agujero de seguridad alojado en la librería libxslt es uno de los archivos que se filtraron el pasado año desde uno de los software de vigilancia del fabricante italiano Hacking Team.
Una vez que logra penetrar el dispositivo, el agujero de seguridad permite ejecutar un ELF llamado module.so, el cual también se aprovecha de otra vulnerabilidad para que se le otorgue acceso de administrador y así moverse libremente. La vulnerabilidad a la que hacemos mención se la conoce como Towelroot y apareció públicamente allá por el año 2014. Con Towelroot alojado en el dispositivo, se comenzará a descargar e instalar un archivo APK que no es nada bueno, se trata de un ransomware de nombre Dogspectus o Cyber.Police. Pero tranquilos, que a diferencia de otros ransomware este no va a encriptar los archivos del dispositivo o borrarlos, todo lo contrario, muestra una amenaza falsa para intimidar a la víctima donde dice que las agencias federales detectaron actividad ilegal en el dispositivo y se deberá pagar una multa.
En caso de que no se pague la suma de dinero exigida, la aplicación maliciosa instalada hará que el dispositivo quede bloqueado para que no se pueda hacer nada con él. La única opción es pagar la multa o volverlo a un estado de fábrica mediante la recuperación del mismo, pero mucho cuidado, que este método borra todos los datos que no hayan sido respaldados, así que lo más recomendable es conectarlo a una computadora y respaldar todos los archivos importantes antes de hacer nada.
¿Cuál es el problema ahora mismo? Hay muchos dispositivos antiguos que todavía no cuentan con la última versión de Android y son vulnerables a sufrir estos ataques. Muchos de ellos no se actualizan porque su hardware no es compatible con las nuevas versiones del popular sistema de Google y quedan estancados en Android 4.2.2. Otros simplemente no se actualizan porque sus fabricantes dejan de dar soporte a sus viejos modelos, para que de alguna manera las personas se compren nuevas versiones.
Por defecto las actualizaciones del sistema operativo deberían venir activadas por defecto, pero si posees un dispositivo móvil de gama media/alta, lo más seguro es que ya no tengas el sistema operativo que es afectado por la vulnerabilidad. De todas maneras, deberías comprobar las actualizaciones ingresando en Ajustes > Actualizaciones del sistema, o simplemente conectándolo a tu computadora y utilizando el software que te provee tu fabricante para administrar el móvil.
Recuerda que los principales fabricantes ya están comenzando a distribuir la nueva versión de Android Marshmallow 6.0 para los dispositivos de gama media/alta, así que comprueba si tu dispositivo soporta dicha actualización para poder recibirla cuanto antes.