Nuevo ransomware para Android se propaga rápidamente por Estados Unidos
Desde hace tiempo venimos siguiendo la evolución del ransomware en sistemas Android. Tras ver cómo las primeras familias de ransomware combinaban los falsos antivirus con la habilidad de bloquear la pantalla de los dispositivos (por ejemplo Android Defender), el año pasado descubrimos Simplocker, el primer ransomware para Android que cifraba los ficheros de los usuarios. En esta ocasión, los investigadores de ESET han descubierto propagándose activamente el primer ransomware para Android que cambia el código PIN de nuestro dispositivo y lo bloquea.
En anteriores malware para Android de este tipo, la funcionalidad de bloqueo de pantalla se conseguía normalmente al mostrar la ventana avisando del secuestro del dispositivo de forma repetida. A pesar de que se incluían varios mecanismos de auto-defensa para asegurarse de que el usuario no podía acceder al dispositivo, no era especialmente difícil librarse de este malware mediante el desbloqueo del dispositivo usando el ADB (Android Debug Bridge) o desactivando los permisos de administrador y desinstalando la aplicación maliciosa en modo seguro.
Desafortunadamente, los creadores de malware han mejorado sus creaciones y con las nuevas variantes de ransomware bloqueadores de pantalla para Android, detectados por ESET como Android/Lockerpin.A, los usuarios ya no disponen de métodos efectivos para retomar el acceso a sus dispositivos si no cuentan con privilegios de root u otro método de gestión de la seguridad instalado, además de un reinicio de fábrica, algo que también eliminaría los datos almacenados.
Además, este ransomware utiliza un truco bastante desagradable para obtener y mantener los permisos de Administrador del Dispositivo para evitar la desinstalación. Este es el primer caso en el que hemos observado este método tan agresivo en malware para Android.
