Desde la aparición de WannaCry hace poco más de una semana, muchos nos han preguntado si los dispositivos Android son vulnerables. La respuesta es no, ya que esta amenaza solo afecta a Windows.
Aún así, no debemos bajar la guardia. Rowland Yu, experto de SophosLabs apunta que Android es un objetivo enorme para el ransomware.
Una importante diferencia entre Windows y Android es que Android se crea a partir de una base Linux a la que se le ha eliminado mucho código innecesario y potencialmente peligroso. Además, instalar una app en Android, normalmente requiere que el usuario haga clic sobre ella, lo que reduce la velocidad y extensión de una posible infección sin controlar.
Android tiene sus propios problemas
Aunque Android se libró de este ataque, Yu advierte de posibles amenazas:
Esta semana Google anunció que el sistema operativo Android se encuentra en más de dos mil millones de dispositivos activos. También parece que cada vez existen más dispositivos con este sistema operativo en el ámbito empresarial. Sin lugar a dudas, Android se ha convertido en uno de los principales objetivos para los ciberdelincuentes. Esta es una de las razones por las que en SophosLabs hemos detectado un gran incremento en el ransomware para Android durante los últimos doce meses.
En nuestras tendencias para 2017 ya hablábamos de la amenaza del ransomware para Android. Los sistemas de análisis de Sophos procesaron más de 8,5 millones de apps sospechosas para Android. Más de la mitad contenían malware o apps potencialmente no deseadas (PUA), que incluyen adware de comportamiento malicioso.
a todo esto hemos de añadir que, en las últimas semanas, SophosLabs ha descubierto una serie de apps cuestionables en Google Play.
Una pregunta importante es saber si los usuarios de Android pueden sufrir un ataque similar a WannaCry. Antes de contestar, queremos mostrar un gráfico con la evolución del ransomware para Android durante los últimos dos años:
Las tendencias del ransomware en Android
Desde la primera vez que se detectó ransomware para Android a mediados de 2014, SophosLabs ha constatado un significativo aumento durante estos tres años. En los últimos doce meses, las estadísticas muestran un aumento entre el 700% y el 1.000%.
En general, existen dos tipos de ransomware:
- Ransomware de bloqueo de pantalla
- Ransomware de cifrado
El primero bloquea el dispositivo de la víctima, pero no cifra su información. Además puede incluir otros comportamientos maliciosos como:
- Control a distancia
- Enviar SMS
- Robar información importante
- Desactivar el anti-virus
- Instalar o desinstalar apps
El siguiente es un ejemplo de un dispositivo bloqueado con este tipo de ransomware:
Esta pantalla de bloqueo muestra como las víctimas pueden contactar al atacante vía WeChat o QQ para desbloquear el dispositivo. Afortunadamente, este ransomware solo utiliza un pin que se puede encontrar en el código que mostramos a continuación.
El segundo tipo de ransomware puede cifrar los datos del usuario a la vez que bloquea el dispositivo. El siguiente es un ejemplo:
Este es el código que realiza el cifrado:
Pese a que estos ejemplos deben tomarse en serio, no tienen los ingredientes suficientes para convertirse en un monstruo como WannaCry, según opina Yu.
Medidas defensivas
Nuestro primer consejo es no instalar apps fuera de Google Play a no ser que estemos 100% seguros de su procedencia.
Nuestro segundo consejo es emplear algún tipo de antivirus como el gratuito Sophos Mobile Security para Android, que bloqueará la instalación de apps maliciosas aunque estas se encuentren en Google Play.