La Guardia Civil ha alertado de la nueva aparición del Virus de la Policía para Android. Así pueden atacar tu teléfono móvil y así tienes que protegerte.

virus policia android

*** Publicado el 2/6/2014

Hace varios días apareció una nueva familia de malware para Android, Android/Koler.A. Los medios se hicieron eco del mismo ya que era un ataque del tipo del “Virus de la Policía” / ransomware, parecido a los que hemos visto en ordenadores Windows, aunque en esta ocasión estaba dirigido a teléfonos móviles.

En este caso, el malware no es capaz de cifrar los datos del teléfono, pero aún así es bastante molesto y difícil de eliminar (si no cuentas con antivirus para Android) ya que el mensaje que muestra en pantalla está encima de todo lo demás y el usuario sólo dispone de unos pocos segundos para intentar desinstalarlo.

Mientras lo estábamos estudiando nos encontramos con una nueva variante, exactamente idéntica a la primera pero ésta se conecta a un servidor diferente. Y este servidor aún estaba activo… Y resulta que los ciberdelincuentes cometieron un pequeño error al configurarlo y dejaron la puerta entreabierta 🙂 Lamentablemente no pudimos acceder a toda la información que allí había (tenían una base de datos –mysql- con información de las infecciones, pagos, etc. a la que no pudimos acceder L) pero aún así fuimos capaces de descargar ficheros del servidor y echar un vistazo a su funcionamiento.

No entraré en detalles sobre el error que cometieron y que dejó la puerta entreabierta, ya que lo último que queremos es ayudarles ;).

El método de funcionamiento desde el lado del servidor es muy parecido a los que tienen como objetivo ordenadores con Windows: varios scripts para geolocalizar el dispositivo y mostrar el mensaje en el idioma local y con imágenes de las fuerzas de seguridad locales. Guarda información de todos los dispositivos infectados en la base de datos y añade el MD5 del malware que lo ha infectado. Al hacer esto pueden hacer un seguimiento del número de infecciones que consiguen con cada variante del malware y medir el éxito de las diferentes campañas de infección.

Este troyano está preparado para atacar a usuarios de 31 países de todo el mundo. 23 de ellos son europeos: Alemania, Austria, Bélgica, Chequia, Dinamarca, Eslovenia, Eslovaquia, España, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Noruega, Polonia, Países Bajos, Portugal, Reino Unido, Rumanía, Suecia y Suiza.

El resto de países cuyos ciudadanos también son objetivos son: Australia, Bolivia, Canadá, Ecuador, Estados Unidos, México, Nueva Zelanda y Turquía.

¿Qué pasa si ya has sido infectado?

Bien, probablemente no tendrás un antivirus instalado en tu teléfono, lo que hace la limpieza un poco complicada. La pantalla de “infección” que muestra aparece siempre en primer lugar, y además el malware deshabilita el botón “atrás”. Sin embargo el botón “Home” que nos lleva al escritorio del teléfono sigue funcionado, así que podemos intentar pulsar el botón, ir al menú de aplicaciones y desinstalar la aplicación maliciosa:

Android ransomware

La mala noticia es que solo tendrás 5 segundos para hacerlo, ya que la pantalla vuelve a aparecer cada 5 segundos. Entonces, ¿qué podemos hacer? Simplemente necesitamos reiniciar el teléfono en “modo seguro”.  Dependiendo del teléfono móvil que tengas esto se puede hacer de diferentes formas. Aquellos que tienen una versión de Android pura (Nexus, Motorola) únicamente necesitan ir al menú de apagado y pulsar durante un par de segundos sobre “Apagar” hasta que les aparezca el mensaje donde nos pregunta si queremos reiniciar en modo seguro:

modo seguro

Aceptamos y una vez se ha reiniciado el teléfono podemos desinstalar la aplicación maliciosa. Para volver al modo normal basta con reiniciar normalmente el teléfono. Si tu teléfono tiene alguna versión de Android personalizada (Samsung, etc.) puedes averiguar fácilmente cómo reiniciar en modo seguro utilizando Google.

Hemos conseguido capturar todas las pantallas que muestra el malware para cada país, donde encontraréis bastante gente conocida, como Obama, François Hollande (presidente francés), la reina de Inglaterra… Ha sido divertido ver cómo en el caso de Estados Unidos mencionan a Mandiant (la empresa que demostró que China tenía en su ejército una unidad de ciberespionaje).