pagines web terrassa

La Guàrdia Civil ha alertat de la nova aparició del Virus de la Policia per Android. Així poden atacar el teu telèfon mòbil i així has de protegir-te.

Fa diversos dies va aparèixer una nova família de *malware per Android, Android/*Koler.A. Els mitjans es van fer ressò del mateix ja que era un atac del tipus de el “Virus de la Policia” / ransomware, semblat als quals hem vist en ordinadors Windows, encara que en aquesta ocasió estava dirigit a telèfons mòbils.

En aquest cas, el malware no és capaç de xifrar les dades del telèfon, però encara així és bastant molest i difícil d'eliminar (si no comptes amb antivirus per Android) ja que el missatge que mostra en pantalla està damunt de tot la resta i l'usuari només disposa d'uns pocs segons per intentar desinstal·lar-ho.

Mentre ho estàvem estudiant ens trobem amb una nova variant, exactament idèntica a la primera però aquesta es connecta a un servidor diferent. I aquest servidor encara estava actiu… I resulta que els *ciberdelincuentes van cometre un petit error en configurar-ho i van deixar la porta entreoberta Lamentablement no vam poder accedir a tota la informació que allí hi havia (tenien una base de dades -mysql- amb informació de les infeccions, pagaments, etc. a la qual no vam poder accedir L) però encara així vam ser capaços de descarregar fitxers del servidor i fer un cop d'ull al seu funcionament.

No entraré en els detalls sobre l'error que van cometre i que va deixar la porta entreoberta, ja que l'últim que volem és ajudar-los ;).
El mètode de funcionament des del costat del servidor és molt semblat als quals tenen com a objectiu ordinadors amb Windows: diversos scripts per *geolocalizar el dispositiu i mostrar el missatge en l'idioma local i amb imatges de les forces de seguretat locals. Guarda informació de tots els dispositius infectats en la base de dades i afegeix el *MD5 del *malware que ho ha infectat. En fer això poden fer un seguiment del nombre d'infeccions que aconsegueixen amb cada variant del *malware i mesurar l'èxit de les diferents campanyes d'infecció.

Aquest *troyano està preparat per atacar a usuaris de 31 països de tot el món. 23 d'ells són europeus: Alemanya, Àustria, Bèlgica, Txèquia, Dinamarca, Eslovènia, Eslovàquia, Espanya, Finlàndia, França, Grècia, Hongria, Irlanda, Itàlia, Letònia, Noruega, Polònia, Països Baixos, Portugal, Regne Unit, Romania, Suècia i Suïssa.

La resta de països els ciutadans dels quals també són objectius són: Austràlia, Bolívia, Canadà, Equador, Estats Units, Mèxic, Nova Zelanda i Turquia.

Què passa si ja has estat infectat?

Bé, probablement no tindràs un antivirus instal·lat en el teu telèfon, la qual cosa fa la neteja una mica complicada. La pantalla de infecció que mostra apareix sempre en primer lloc, i a més el *malware deshabilita el botó “enrere”. No obstant això el botó Home que ens porta a l'escriptori del telèfon segueix funcionat, així que podem intentar prémer el botó, anar al menú d'aplicacions i desinstal·lar l'aplicació maliciosa:

La mala notícia és que solament tindràs 5 segons per fer-ho, ja que la pantalla torna a aparèixer cada 5 segons. Llavors, què podem fer? Simplement necessitem reiniciar el telèfon en “manera segura”. Depenent del telèfon mòbil que tinguis això es pot fer de diferents formes. Aquells que tenen una versió de Android pura (Nexus, Motorola) únicament necessiten anar al menú d'apagat i prémer durant un parell de segons sobre Apagar fins que els aparegui el missatge on ens pregunta si volem reiniciar en manera segura:

Acceptem i una vegada s'ha reiniciat el telèfon podem desinstal·lar l'aplicació maliciosa. Per tornar a la manera normal n'hi ha prou amb reiniciar normalment el telèfon. Si el teu telèfon té alguna versió de Android personalitzada (Samsung, etc.) pots esbrinar fàcilment com reiniciar en manera segura utilitzant Google.

Hem aconseguit capturar totes les pantalles que mostra el malware per a cada país, on trobareu bastant gent coneguda, com Obama, François Hollande (president francès), la reina d'Anglaterra… Ha estat divertit veure com en el cas d'Estats Units esmenten a Mandiant (l'empresa que va demostrar que Xina tenia en el seu exèrcit una unitat de ciberespionatge).