Malware disfrazado de Cyberpunk 2077

Unos ciberdelincuentes emplean una beta falsa de Cyberpunk 2077 para propagar malware en Android.

En cuanto se lanzó Cyberpunk 2077 para Windows y consolas, encontramos online una “versión beta para Android”, muy fácil de descargar desde una web con el nombre cyberpunk2077mobile[.]com. Como el desarrollador real aún tiene que anunciar la versión móvil del juego, decidimos investigarlo.

¿Cyberpunk 2077 para Android? No, es ransomware

La página web de la supuesta versión móvil no se parece en nada a la oficial de Cyberpunk 2077, de hecho, se parece más a la Google Play. Sus creadores afirman que la versión beta se lanzó el mismo día que el lanzamiento oficial y (mientras redactábamos este artículo) se había descargado unos 1.000 veces. Algunos usuarios incluso han dejado sus opiniones, diciendo que no estaba mal para ser una beta.

Parecida a la Google Play

Aunque la página web especifica que el tamaño de la aplicación es de 3,4 GB, el archivo ocupa menos de 3 MB. ¿Será que los desarrolladores han creado algún tipo de tecnología futurística de compresión? Lo dudamos.
Además, al abrir la app por primera vez, la beta falsa solicita acceso a los archivos del dispositivo. En teoría, una aplicación podría necesitar acceso para guardar o abrir algo, pero ningún juego necesita tus fotos y vídeos para iniciarse. No obstante, la aplicación no carga si no concedes dicho acceso.
Pero si un usuario aprueba dicho permiso, verá una nota de rescate, no el juego que quería.

¿Para qué necesita acceso un juego a tus archivos? ¡Pues para cifrarlos!

El mensaje está escrito en un inglés algo confuso e informa a las víctimas de que ahora todos sus selfis y otros archivos importantes están cifrados. Para recuperarlos, los ciberdelincuentes piden 500 dólares en bitcoins dentro del plazo de 24 horas (o 10, en la nota se mencionan ambos períodos). De todos modos, también se comunica que, si la víctima no entrega el dinero a tiempo, el malware lo borrará todo de formar permanente.
De acuerdo con la nota, cualquier intento de eliminar el ransomware será inútil y supondrá la pérdida de los archivos.

¿Se pueden recuperar los archivos cifrados?

Hemos comprobado lo que sucede con los archivos de un dispositivo infectado y sí, están cifrados con la extensión .coderCrypt. Asimismo, el malware coloca en cada carpeta un archivo README.txt que contiene el mismo mensaje de rescate.

El Cyberpunk 2077 falso para Android cifra los archivos; en eso, sus creadores son sinceros.

No obstante, los archivos se pueden recuperar porque el malware emplea el algoritmo de cifrado simétrico RC4. Lo de simétrico quiere decir que la misma clave cifra y descifra los archivos y, en este caso, se encontraba en el código fuente de la aplicación. En todas las muestras que hemos encontrado era este: 21983453453435435738912738921.
Como el RC4 es muy común, es posible que tú mismo recuperes los archivos con, por ejemplo, un servicio online de descifrado o poniéndote en contacto con nuestro equipo de atención al cliente. Además, al menos en la versión del malware que hemos examinado, las 10 o 24 horas de plazo son totalmente irrelevantes ya que el malware no borrará nada una vez pasado ese tiempo, porque en su código no se incluye ninguna función de ese tipo.
Dicho esto, te recomendamos que guardes una copia de los archivos cifrados antes de intentar restaurarlos, por si falla el programa de recuperación.

Ransomware de Cyberpunk 2077: versión para Windows

Por desgracia, los archivos cifrados por el ransomware no son fáciles de recuperar. Por ejemplo, los autores de la beta falsa de Cyberpunk 2077 para Android también están distribuyendo un ransomware para Windows con la apariencia del mismo juego. En este caso, la clave no está en el código fuente de la aplicación, sino que se genera al azar en cada caso de infección, por lo que las víctimas no tienen un modo fácil de descifrar los archivos afectados.

La nota de rescate para los usuarios de Windows pide 1.000 dólares en Bitcoins para el descifrado.

¿Deberías pagar?

Mientras escribimos esto, se han transferido más de 8.000 dólares en bitcoins al monedero de los ciberdelincuentes aunque nada te garantiza que te vayan a devolver los archivos. Los creadores podrían desaparecer con el dinero o pedirte más. Por ello, te recomendamos que de ningún modo pagues el rescate.

Los expertos de Kaspersky ayudamos a las víctimas de ransomware estudiando su código malicioso e inventando formas de descifrar los archivos, es decir, escribimos descifradores gratuitos. Puedes encontrar muchos en la web NoMoreRansom, creada para contrarrestar este tipo de ataques, o en nuestra web de soporte. Si te ves afectado por un ransomware, no dudes en usar de inmediato estos servicios y, aunque aún no exista ningún descifrador concreto para tu problema, es posible que terminemos desarrollando uno en el futuro.

Cómo protegerse del ransomware

El mejor consejo, obviamente, es evitar el ransomware desde un principio, incluso el que se presenta con la apariencia de un juego popular. Para protegerte, mediante unas normas básicas de seguridad debería bastar con:

  • Descarga aplicaciones solo desde tiendas oficiales o desde la web oficial de desarrollador.
  • Si buscas versiones beta, lanzamientos o promociones, hazlo en la web del desarrollador. Si el desarrollador no tiene información o el juego aún no ha salido oficialmente, lo demás es falso.
  • Usa una solución de seguridad de confianza en todos los dispositivos para detectar el malware antes de que haga ningún daño. Por ejemplo, nuestros productos detectan el falso Cyberpunk 2077 para Android con el nombre HEUR:Trojan-Ransom.AndroidOS.Agent.bs y la versión para Windows con el de Trojan-Ransom.Win32.Alien.ao.
  • Haz una copia de seguridad de los archivos importantes para que puedas recuperarlos en el caso de daño o pérdida.
Consejos
Suscríbete para recibir nuevas publicaciones en tu buzón
  • Para el resto de países