Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

AndroidLocker

¿Qué es?

AndroidLocker, también conocido como Android Locker, es un malware de tipo ramsonware locker que se enfoca en infectar dispositivos Android para bloquear sus pantallas y extorsionar a los usuarios para que paguen un rescate por sus datos.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones sobre los dispositivos infectados:

  • Solicita permisos de administrador y bloquea funciones de desinstalación y prevención de reinicios forzados.
  • Bloquea la pantalla con una mensaje de rescate, muestra una interfaz que exige datos bancarios y oculta el acceso al sistema.
  • Se comunica con los servidores de mando y control (C2) de manera cifrada y vía Google Cloud Messaging (GCM).
  • Ejecuta comandos remotos de manera cifrada (AES) para bloquear o desbloquear dispositivo, descargar e instalar APK maliciosos adicionales, enviar SMS y robar información, como la lista de contactos.
  • Envía y transmite información y datos sensibles de los dispositivos, como IMEI, IP, país, operador y modelo, entre otros.
  • Envía SMS con enlaces maliciosos de manera masiva.
  • Se propaga mediente el envío de enlaces de APK infectadas a todos los contactos.
  • Captura imágenes del usuario con cámara frontal y las muestra en pantalla para intimidar en el rescate.
  • Usa funciones del sistema para activarse regularmente y generar persistencia, consultar comandos cada minuto y drenar la batería.
  • Bloquea la pantalla y cifra archivos en la tarjeta SD con AES para exigir el rescate.
  • Actualiza dinámicamente el servidor de mando y control (C2) y sus proxies.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Android. Sobre todo, smartphones con versiones antiguas, no oficiales o no certificados por Google Play Protect.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de aplicaciones falsas que simulan ser legítimas (antivirus, ofimáticas, de contenido adulto, actualizaciones, juegos...) en tiendas no oficiales y a través del uso de ingeniería social con pop-ups y mensajes que incitan a descargar e instalar aplicaciones comprometidas.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners para Android.

Más información

Compartir en Redes Sociales