La copia 'barata' del WannaCry que puede bloquear tu Android: qué hacer para evitarlo

Desde el ataque mundial del WannaCry hace ya dos años, son muchos los imitadores que intentan "ahorrarse" trabajo copiando el funcionamiento del virus. Es el caso del Android/Filecoder.C, un nuevo programa malicioso de tipo 'ransomware' para Android que envía SMS con enlaces maliciosos a los contactos de sus víctimas. Una fórmula para secuestrar los datos de los teléfonos con sistema Android que, según la compañía de ciberseguridad ESET que lo ha descubierto, se trata de una campaña dirigida por aficionados y con errores en su código.

ESET ha informado en un comunicado que este 'ramsonware', denominado Android/Filecoder.C, llega al usuario a través de un enlace malicioso en un mensaje de texto que, si se pincha sobre él, lleva al archivo de instalación del 'ramsonware', lo que supone una forma "peculiar" de distribución de este tipo de 'malware'.

TE PUEDE INTERESAR

Qué es Okrum, el peligroso virus que se instala en el ordenador con 3 clics de ratón

Rubén Rodríguez

El responsable de ESET que ha liderado esta investigación, Lukas Stefanko, ha asegurado que la forma de propagación "debería provocar una infección masiva, sobre todo teniendo en cuenta que el mensaje se puede encontrar hasta en 42 idiomas diferentes". Sin embargo, y como matiza, ese mensaje "está muy mal traducido y la mayoría de los usuarios que lo reciben lo tratan como algo sospechoso".

Cómo evitar que infecte tu móvil

Desde la empresa recomiendan a los usuarios que estén siempre muy atentos a cualquier texto sospechoso y, además, que actualicen los dispositivos de forma automática.

Es muy importante, explican, descargar solamente aplicaciones desde la tienda Google Play o de distribuidores conocidos. Aconsejan también que antes de instalar una aplicación poco común, el usuario se pare a leer las puntuaciones y los comentarios de otros usuarios, observar los permisos que solicita la 'app' y, sobre todo, utilizar una solución de seguridad específica para el móvil.

En Reddit y foros

Desde la compañía han señalado que el 'ramsonware' "se ha encontrado camuflado en diferentes temas relacionados con la pornografía en la plataforma Reddit y, en menor medida, en el foro de desarrolladores XDA". Stefanko ha detallado que esta campaña está dirigida por aficionados, lo que se comprueba "viendo las técnicas de cifrado utilizadas, ya que son muy pobres". De hecho, ha afirmado que "cualquier archivo infectado puede recuperarse sin mayor problema".

TE PUEDE INTERESAR

Por qué debes actualizar tu Smart TV para evitar virus (pero no como hace Samsung)

Guillermo Cid

El investigador en ciberseguridad ha explicado que el 'ransomware' contiene algunas anomalías en su cifrado como, por ejemplo, excluye archivos de más de 50MB e imágenes de menos de 150kb. Además, "su listado de tipos de archivo para cifrar contiene muchas entradas que no se corresponden con archivos de Android y, sin embargo, le faltan extensiones típicas de este sistema operativo".

Una copia 'barata'

Además, se incluyen otros elementos poco habituales en este tipo de 'malware' que secuestra los equipos, como que no se bloquea la pantalla del usuario infectado y "que no se trate de un conjunto de valores preestablecidos, sino que el rescate que se demanda se genera de forma dinámica al utilizar la identificación del usuario". Esta cantidad suele oscilar entre los 0,01 y los 0,02 bitcoins.

Stefanko concluye que "parece ser que los delincuentes copiaron la lista del 'ransomware' Wannacry". A pesar de ello, ha remarcado la posibilidad de que sea "probable que el delincuente intente mejorar este 'malware' resolviendo los fallos existentes y que busque una forma más avanzada de distribución, por lo que se podría convertir en una amenaza muy peligrosa".