¿Televisores infectados con ransomware? Si, es posible

Se ha visto circulando por la red una nueva familia de ransomware, cuyas variantes pueden atacar a cualquier dispositivo Android, incluyendo las Smart TV que muchos tenemos en nuestro salón. Desde Trend Micro explican como, de entre las 7000 variantes del ransomware Flocker encontradas, algunas consiguen afectarlos.

El ransomware flocker

La primera variante de Flocker apareció en 2015, aunque la versión más reciente posee algunas particularidades que los expertos detallan en su análisis:

La última variante de Flocker es un troyano policial que pretende representar a la Ciber-policía de EEUU o cualquier otra agencia del orden, acusando al usuario de crímenes o abusos potenciales que no han cometido. Demanda así el equivalente a 200 USD en tarjetas iTunes de regalo.

Según los expertos no hay una diferencia aparente entre las versiones de Flocker destinadas a dispositivos móviles y las que afectan a las Smart Tv.

Ransomware Cyber.Police

Seguro que muchos de quienes seguís habitualmente las noticias sobre ciberseguridad tenéis en la mente el nombre de Cyber.Police. Un ransomware que, como Flocker, demanda 200 $ en forma de tarjetas regalo de iTunes.

La pantalla de demanda de Cyber Police incluso lanza un diseño similar (a veces incluso el mismo) que el utilizado por Flocker:

¿Coincidencia? ¿Es posible que los responsables de Cyber.Police sean los rensponsables de Flocker? También es probable que, tras haber comprado el código del ransomware en la Dark Web, hayan decidido copiar su aspecto.

Así infectaría el ransomware Flocker un Televisor

Dejando a un lado la posible relación entre ambas, Flocker esconde su código en los archivos de datos en bruto, concretamente en un archivo denominado form.html y que se encuentra en la carpeta assets. Esto le permite al troyano esconderse del análisis de código estático.

Una vez que se ejecuta el malware, primero desencripta el archivo form.html y ejecuta el código malicioso.

Ahora, y antes de realizar ningún otro paso, el ransomware Flocker comprueba si el equipo se ejecuta desde alguno de los siguientes países: Kazakstán, Azerbayán, Bulgaria, Georgia, Hungría, Ucrania, Rusia, Armenia o Bielorrusia. Si se produce una coincidencia con estos países, el malware se desactiva.

En caso de tratarse de otro territorio, esperará 30 minutos antes de ejecutar su carga, cuando comenzará un servicio en segundo plano que elevará los privilegios del usuario.

Finalmente, el ransomware se conecta a su servidor C&C, distribuye una nueva carga y muestra al usuario la pantalla de pago donde se requieren los mencionados 200 dólares, en forma de tarjetas regalo de iTunes.

Los miembros del equipo que lo analiza, dejan claro que consigue afectar a cualquier dispositivo basado en Android:

La página de rescate se muestra siempre, sin importar si está o no infectado, o si se trata de un dispositivo móvil o Smart TV.

Palabras finales

Si queréis estar protegidos frente a una infección por FLocker, los usuarios de Android deberíais tener especial cuidado con los sitios por los que navegáis. También cuidado con los enlaces sospechosos y, siempre que sea posible, instalad una solcuión de seguridad o antivirus para vuestros terminales Android.