Buenas a todos, el pasado año 2015 y este 2016, están siendo años complicados para los usuarios que no disponen de una protección antivirus y antispyware adecuada, ni cuentan con medidas de seguridad actuales que les permitan bloquear las últimas amenazas ransomware.
En el mercado Android es cada vez más habitual casos como el que hoy veremos, en el que un ransomware se hace con el control del terminal, cifrando sus contenidos y pidiendo un rescate. Este es el caso de Android Locker Qqmagic, un malware de origen chino reportado por Lukas Stefanko (https://twitter.com/LukasStefanko/status/607823196562276352), que tras realizar la infección presenta una pantalla como la siguiente:
En el siguiente enlace podréis descargar una muestra del ransomware, para que podáis analizarlo y el cual y como es lógico os recomiendo abrir en una máquina virtual aislada:
A continuación os dejamos también con el enlace al informe realizado por Virus Total al subir la muestra:
Y a Contagio Mobile, donde reportaron el link a la muestra (¡gracias!):
Es interesante ver en el análisis estático realizado por VT, como el sistema accede a las funciones criptográficas para realizar el cifrado de archivos del móvil antes de pedir el rescate.
Risk summary The studied DEX file makes use of API reflection
The studied DEX file makes use of cryptographic functions
Permissions that allow the application to manipulate SMS
Permissions that allow the application to perform payments
Permissions that allow the application to access Internet
Permissions that allow the application to access private information
Other permissions that could be considered as dangerous in certain scenarios
Required permissionsandroid.permission.SEND_SMS (send SMS messages)
android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot)
android.permission.SYSTEM_ALERT_WINDOW (display system-level alerts)
android.permission.ACCESS_NETWORK_STATE (view network status)
android.permission.RECEIVE_SMS (receive SMS)
android.permission.INTERNET (full Internet access)
También os comparto el listado de antivirus que lo detectan a día de hoy:
Antivirus | Result | Update |
---|---|---|
AVG | Android/Deng.GLY | 20151222 |
AVware | Trojan.AndroidOS.Generic.A | 20151222 |
Ad-Aware | Android.Trojan.SLocker.EG | 20151222 |
AhnLab-V3 | Android-Trojan/SmsSpy.ddc0 | 20151221 |
Alibaba | A.H.Rog.LockScreen.A | 20151208 |
Arcabit | Android.Trojan.SLocker.EG | 20151222 |
Avast | Android:SMSSend-AEL [Trj] | 20151222 |
Baidu-International | Trojan.Android.Jisut.N | 20151222 |
BitDefender | Android.Trojan.SLocker.EG | 20151222 |
CAT-QuickHeal | Android.Agent.Ae0d5 (PUP) | 20151222 |
Cyren | AndroidOS/GenBl.735B4E78!Olympus | 20151222 |
DrWeb | Android.SmsSend.3003 | 20151222 |
ESET-NOD32 | Android/LockScreen.Jisut.N | 20151222 |
Emsisoft | Android.Trojan.SLocker.EG (B) | 20151222 |
F-Secure | Android.Trojan.SLocker.EG | 20151222 |
Fortinet | Android/LockScreen_Jisut.N!tr | 20151222 |
GData | Android.Trojan.SLocker.EG | 20151222 |
Ikarus | Trojan.AndroidOS.Locker | 20151222 |
K7GW | Trojan ( 004c543a1 ) | 20151222 |
Kaspersky | HEUR:Trojan-SMS.AndroidOS.Agent.us | 20151222 |
McAfee | Artemis!735B4E78B334 | 20151222 |
McAfee-GW-Edition | Artemis!Trojan | 20151222 |
MicroWorld-eScan | Android.Trojan.SLocker.EG | 20151222 |
NANO-Antivirus | Trojan.Android.SmsForward.dxesnz | 20151222 |
VIPRE | Trojan.AndroidOS.Generic.A | 20151219 |
Zillya | Trojan.LockScreen..17 | 20151221 |
Zoner | Trojan.AndroidOS.SimLocker.A | 20151222 |
ALYac | 20151222 | |
AegisLab | 20151222 | |
Agnitum | 20151220 | |
Antiy-AVL | 20151222 | |
Bkav | 20151221 | |
ByteHero | 20151222 | |
CMC | 20151217 | |
ClamAV | 20151222 | |
Comodo | 20151222 | |
F-Prot | 20151222 | |
Jiangmin | 20151221 | |
K7AntiVirus | 20151222 | |
Malwarebytes | 20151222 | |
Microsoft | 20151222 | |
Panda | 20151221 | |
Rising | 20151222 | |
SUPERAntiSpyware | 20151222 | |
Sophos | 20151222 | |
Symantec | 20151221 | |
TheHacker | 20151222 | |
TotalDefense | 20151222 | |
TrendMicro | 20151222 | |
TrendMicro-HouseCall | 20151222 | |
VBA32 | 20151221 | |
ViRobot | 20151222 | |
nProtect | 20151222 |
No hay comentarios:
Publicar un comentario