Image Image Image Image Image Image Image Image Image Image
Scroll to top

Top

No Comments

Porn Droid: Porno + Android es una mala combinación!

Felipe Lizcano

Hace un tiempo, en otro artículo hablaba de un código malicioso y bochornoso a la vez, que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero que, al ejecutarlo, ocasiona daños creando una puerta trasera en el terminal, que permite la administración remota a un usuario no autorizado. En palabras más simples y fáciles de comprender, lo que hace el ransomware es secuestrar o tomar el control del sistema, bloqueando las opciones de uso hasta que el operador del ordenador termine por pagarle la exigencia al terrorista informático.

Lo anterior, hace un buen rato ha dejado de ser exclusivamente para los ordenadores y, desde el año pasado, los expertos de ESET descubrieron Simplocker, un troyano para Android, cuyo “modus operandi” es el siguiente: escanea la tarjeta SD del Android cifrando los archivos para, posteriormente, exigir el pago de un rescate para descifrarlos.

La evolución de esta amenaza!

Hasta ese momento el tema era alarmante pero, por lo menos, la terminal seguía funcionando sin el acceso a ciertos archivos de la tarjeta microSD; pero ahora, los cibercriminales han evolucionado sus tretas para crear un troyano (denominado bajo el alias de Android/Lockerpin.A) que bloquea la pantalla por medio de un PIN. Así pues, la molesta pantalla de rescate queda siempre en primer plano produciendo un bucle infinito, el cual no se puede eliminar mediante el uso de la aplicación de línea de comandos Android Debug Bridge (ADB), mediante la desactivación de los derechos de administrador, o desinstalando la aplicación maliciosa en Modo Seguro.

reset-android

Las últimas versiones del mallare obtienen los derechos de administrador de dispositivos por medio de una ventana de activación que se hace pasar por la “instalación de un parche de actualización”. De esta manera cuando la presa acepta dicho parche, activa sin saberlo los privilegios de administrador del dispositivo, dándole el preciado acceso al troyano y condenando al dispositivo, ya que para este momento el código malicioso puede bloquear dicho dispositivo y establecer un nuevo PIN para la pantalla de bloqueo.

actualizacion_fraudulenta

Posteriormente, el troyano “da la estocada final” al hacerse pasar por el FBI y pedirle al usuario que pague un rescate por, supuestamente, “ver y guardar material pornográfico prohibido”.

supuesta_alerta_fbi

Para este momento del proceso, el problema es que ni el propietario ni el atacante pueden desbloquear el dispositivo, debido a que el PIN se genera al azar y no se envía de vuelta al hacker (dejando el dispositivo permanentemente bloqueado y es imposible desbloquearlo sin tener los privilegios de raíz). La única forma práctica de desbloquearlo es restableciendo los valores de fábrica.

Ahora bien, cuando los usuarios tienen bastante experiencia en Android como para notar que algo raro está pasando, observan que al intentar desactivar el malware por medio del administrador del dispositivo, éste producirá un error, dado que el troyano automáticamente procede a configurar una función de devolución de llamada para reactivar sus privilegios, cada vez que alguien intente eliminarlos.

error_al_desinstalar

Cómo se contagian los usuarios?

Este troyano usa la Ingeniería social para engañar a los usuarios, haciéndose pasar por un video para adultos o una aplicación móvil para ver este tipo de contenidos llamada“Porn Droid” (pero este nombre puede cambiar en cualquier momento cuando los cibercriminales se sientan identificados).


Qué hacer para evitar el contagio?

Debido a lo anterior y a la diversidad de estafas que aparecen todos los días, lo mejor es:

  • No descargar aplicaciones desde sitios diferentes a la tienda oficial del fabricante o desarrollador (App Store, Microsoft Store, Google Play…),
  • Usar una solución de Antivirus y/o seguridad,

Finalmente, no sobra revisar constantemente la lista detallada de las estafas, tipo phishing que está disponible en sitios como