Zerolynx Cybersecurity Blog

Android Locker Qqmagic, un ransomware para smartphones

Buenas a todos, el pasado año 2015 y este 2016, están siendo años complicados para los usuarios que no disponen de una protección antivirus y antispyware adecuada, ni cuentan con medidas de seguridad actuales que les permitan bloquear las últimas amenazas ransomware. 

En el mercado Android es cada vez más habitual casos como el que hoy veremos, en el que un ransomware se hace con el control del terminal, cifrando sus contenidos y pidiendo un rescate. Este es el caso de Android Locker Qqmagic, un malware de origen chino reportado por Lukas Stefanko (https://twitter.com/LukasStefanko/status/607823196562276352), que tras realizar la infección presenta una pantalla como la siguiente:


En el siguiente enlace podréis descargar una muestra del ransomware, para que podáis analizarlo y el cual y como es lógico os recomiendo abrir en una máquina virtual aislada:

Descargar muestra del malware Android Locker Qqmagic 

A continuación os dejamos también con el enlace al informe realizado por Virus Total al subir la muestra:

https://www.virustotal.com/en/file/b914c0dd57ffcb1c96cf37d61a3ae052a5372f01c5fac3ea0535bbdb0da862dd/analysis/

Y a Contagio Mobile, donde reportaron el link a la muestra (¡gracias!):

http://contagiominidump.blogspot.com.es/2015/06/android-ransomware-locker-with.html

Es interesante ver en el análisis estático realizado por VT, como el sistema accede a las funciones criptográficas para realizar el cifrado de archivos del móvil antes de pedir el rescate.

Risk summary The studied DEX file makes use of API reflection
The studied DEX file makes use of cryptographic functions
Permissions that allow the application to manipulate SMS
Permissions that allow the application to perform payments
Permissions that allow the application to access Internet
Permissions that allow the application to access private information
Other permissions that could be considered as dangerous in certain scenarios

Required permissionsandroid.permission.SEND_SMS (send SMS messages)
android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot)
android.permission.SYSTEM_ALERT_WINDOW (display system-level alerts)
android.permission.ACCESS_NETWORK_STATE (view network status)
android.permission.RECEIVE_SMS (receive SMS)
android.permission.INTERNET (full Internet access)

También os comparto el listado de antivirus que lo detectan a día de hoy:

AntivirusResultUpdate
AVGAndroid/Deng.GLY20151222
AVwareTrojan.AndroidOS.Generic.A20151222
Ad-AwareAndroid.Trojan.SLocker.EG20151222
AhnLab-V3Android-Trojan/SmsSpy.ddc020151221
AlibabaA.H.Rog.LockScreen.A20151208
ArcabitAndroid.Trojan.SLocker.EG20151222
AvastAndroid:SMSSend-AEL [Trj]20151222
Baidu-InternationalTrojan.Android.Jisut.N20151222
BitDefenderAndroid.Trojan.SLocker.EG20151222
CAT-QuickHealAndroid.Agent.Ae0d5 (PUP)20151222
CyrenAndroidOS/GenBl.735B4E78!Olympus20151222
DrWebAndroid.SmsSend.300320151222
ESET-NOD32Android/LockScreen.Jisut.N20151222
EmsisoftAndroid.Trojan.SLocker.EG (B)20151222
F-SecureAndroid.Trojan.SLocker.EG20151222
FortinetAndroid/LockScreen_Jisut.N!tr20151222
GDataAndroid.Trojan.SLocker.EG20151222
IkarusTrojan.AndroidOS.Locker20151222
K7GWTrojan ( 004c543a1 )20151222
KasperskyHEUR:Trojan-SMS.AndroidOS.Agent.us20151222
McAfeeArtemis!735B4E78B33420151222
McAfee-GW-EditionArtemis!Trojan20151222
MicroWorld-eScanAndroid.Trojan.SLocker.EG20151222
NANO-AntivirusTrojan.Android.SmsForward.dxesnz20151222
VIPRETrojan.AndroidOS.Generic.A20151219
ZillyaTrojan.LockScreen..1720151221
ZonerTrojan.AndroidOS.SimLocker.A20151222
ALYac
20151222
AegisLab
20151222
Agnitum
20151220
Antiy-AVL
20151222
Bkav
20151221
ByteHero
20151222
CMC
20151217
ClamAV
20151222
Comodo
20151222
F-Prot
20151222
Jiangmin
20151221
K7AntiVirus
20151222
Malwarebytes
20151222
Microsoft
20151222
Panda
20151221
Rising
20151222
SUPERAntiSpyware
20151222
Sophos
20151222
Symantec
20151221
TheHacker
20151222
TotalDefense
20151222
TrendMicro
20151222
TrendMicro-HouseCall
20151222
VBA32
20151221
ViRobot
20151222
nProtect
20151222
Labels: ,