Nuevo SLocker que imita a WannaCry abusa de los servicios de QQ

Los investigadores de Trend Micro detectaron una nueva variante de SLocker que imita a la GUI del crypto-ransomware WannaCry en la plataforma Android. Identificada como ANDROIDOS_SLOCKER.OPSCB, esta nueva variante del ransomware móvil SLocker incluye nuevas rutinas que utilizan funcionalidades de la red social china QQ, junto con capacidades persistentes para bloquear pantallas. 

Se descubrió que SLocker, un ransomware que cifra archivos de Android y que se detectó y analizó por primera vez en julio, imitaba la GUI de WannaCry. Aunque la policía china ya arrestó al supuesto creador del ransomware, otros operadores de SLocker evidentemente siguen trabajando inadvertidamente.

La mayoría de las víctimas se infectaron con el ransomware móvil a través de los grupos de chat de QQ en los que se habla sobre la popular aplicación de juegos ‘王者荣耀’ o King of Glory, el cual también fue el vector de infección de la variante anterior. Se hace pasar por una serie de herramientas que sirven para hacer trampas dentro del juego, y las cuales están ocultas bajo los nombres ‘钱来了’ o ‘Here comes money’, y ‘王者荣耀修改器’ o ‘Modifiers for King of Glory’. El juego es bastante popular en China, donde existen 200 millones de usuarios registrados.  

Las muestras de la variante se empaquetaron como “com.android.admin.hongyan” (hongyan significa ‘belleza’) y “com.android.admin.huanmie” (huanmie significa ‘desilusión’). ‘Hongyan’ y ‘huanmie’ son términos que se utilizan en las novelas chinas que son populares entre los adolescentes.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/Figure_1_SLocker_ransomnote.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”317″ height=”429″]

Figura 1. Captura de pantalla de una nota de Ransom

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/Figure_2_Decrypted_files.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”318″ height=”436″]

Figura 2. Captura de pantalla de los archivos desencriptados. En español, ‘文件已被幻灭劫持” significa que los archivos fueron bloqueados por Desilusión.

Características Adicionales de la Nueva Variante

Además de la GUI, cuyo diseño también se modificó, y su capacidad de cambiar el papel tapiz del dispositivo una vez que la herramienta falsa se ejecuta, esta nueva variante de SLocker no comparte otras similitudes con su predecesor. A diferencia de ANDROIDOS_SLOCKER.OPST, la nueva variante se creó usando el entorno de desarrollo integrado de Android (AIDE), un programa que se utiliza para desarrollar aplicaciones Android directamente en un dispositivo con dicho sistema operativo. Es importante resaltar que con el uso de AIDE, a los operadores de ransomware les es más sencillo desarrollar Android Package Kits (APKs), y la conveniencia que ofrece puede atraer a recién llegados para desarrollar sus propias variantes.

De hecho, el texto ‘ADDING GROUP’ (agregar grupo) localizado en la parte inferior de la nota de rescate de la Figura 1 dirige a la víctima a un foro de QQ en el que se habla de los procesos para crear un ransomware a cambio de dinero.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/Figure_3_QQ_Forum.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”312″ height=”446″]

Figura 3. Captura de pantalla de la página de grupos de QQ

La página se titula ‘锁机幼稚园,’ o Lock-Phone Kindergarten, y fue creada el 16 de mayo de 2017. La descripción indica que la función principal del grupo es enseñar y discutir sobre cómo bloquear el acceso a los teléfonos y que los códigos fuente se van a actualizar continuamente. En la parte inferior de la página, hay un botón que dice ‘solicitud para unirse a este grupo’.

Además de eso, hay otro texto contenido en la nota de rescate, ‘CONTACT US’ (contáctenos), que no tenía el ransomware anterior. Al pulsarlo, se abre la ventana de chat de QQ de la víctima, supuestamente para permitir que el operador del ransomware se comunique con la víctima para explicar cómo liberar los archivos.

En la página del perfil de QQ del supuesto operador del ransomware hay también un texto que informa que para desencriptar los archivos, la víctima debe seguir las instrucciones que le proporcionará una persona no identificada durante una llamada que está por recibir.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/Figure_4_QQ_Chatwindow.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”314″ height=”430″]

Figura 4. La ventana de chat de QQ entre la víctima y el operador del ransomware

Además, utiliza un servicio de almacenamiento en la nube (bmob) legítimo, el cual el operador de ransomware puede usar para cambiar la llave de desencriptación.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/Figure_5_SLocker_packagestructure.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”288″ height=”872″]

Figura 5. La estructura del paquete de la nueva variante

De qué manera la variante de SLocker encripta los archivos

A pesar de que sus nuevas rutinas la hacen parecer más avanzada, esta variante utiliza un proceso de encriptación menos sofisticado. Aunque su predecesor utilizaba HTTP, TOR o XMPP para comunicarse con servidores remotos C&C, esta variante no utiliza ninguna tecnología de comunicación C&C.

Cuando se ejecuta, se dirige cuidadosamente a todos los tipos de archivos de la tarjeta SD, incluyendo el almacenamiento, el registro del sistema y los archivos tmp, que son relativamente insignificantes para los usuarios móviles. La variante previa excluye los archivos antes mencionados en su proceso de encriptación, eligiendo sólo los importantes, como los documentos Microsoft Office, así como los formatos de archivos de video e imagen. A juzgar por las muestras, la variante parece haber usado el algoritmo de encriptación AES, y el obsoleto algoritmo de encriptación DES, que es otra señal de su incompetencia.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/Figure_6_DES_encyptionalgorithm.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”813″ height=”306″]

Figura 6. Snippet del código que muestra el algoritmo de encriptación DES

Funcionalidades persistentes que bloquean la pantalla

Tal vez para compensar su incapacidad de encriptar todos los tipos de archivos de la tarjeta SD, utiliza su capacidad de bloquear el acceso a la pantalla. Si las víctimas pulsan el botón de desencriptación de la nota de rescate, aparecerá la UI del administrador del dispositivo y secuestrará la pantalla cada vez que las víctimas opriman el botón de cancelación. Si pulsan el botón de activación, la variante ajustará o reajustará el PIN del dispositivo, bloqueando también el acceso a la pantalla.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/Figure_7_Device_administrator_UI.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”266″ height=”378″]

Figura 7. Captura de pantalla de la UI del administrador del dispositivo

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/07/Figure_8_PIN_Locker.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”266″ height=”378″]

Figura 8. Captura de pantalla del bloqueador del PIN

Soluciones y Recomendaciones

Si bien esta nueva variante de SLocker incluye un proceso de encriptación relativamente deficiente, sus nuevas capacidades deberían advertir a los suscriptores de QQ y jugadores móviles del alto nivel de sofisticación de las tácticas de ataque de los operadores del ransomware. La creciente proliferación de nuevas variantes muestra que los creadores de amenazas están avanzando rápidamente.

A continuación, algunos consejos sobre cómo evitar que el ransomware infecte sus dispositivos móviles:

 

  • Instale solamente aplicaciones que descargue de las tiendas legítimas, como Google Play
  • Tenga cuidado con los permisos que solicita una aplicación, especialmente los que le permitan leer/escribir en el almacenamiento externo
  • Respalde regularmente sus datos – en un dispositivo seguro o en un servicio de almacenamiento en la nube
  • Instale soluciones antivirus completas. Las soluciones de seguridad móvil como Trend Micro™ Mobile Security bloquean las amenazas de las tiendas de aplicaciones antes de que puedan instalarse y dañar los dispositivos, mientras que Trend Micro™ Maximum Security ofrece protección para múltiples dispositivos y los asegura proactivamente contra las amenazas del ransomware.

 

Indicadores de Compromiso (IOCS)

[image url=”/wp-content/uploads/2017/08/TrendLabs-Security-Intelligence-BlogNew-WannaCry-Mimicking-SLocker-Abuses-QQ-Services-TrendLabs-Security-Intelligence-Blog.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”621″ height=”1299″]

 

 


Posted

in

,

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.