El modelo de software malicioso del tipo rescate está siendo adoptado de forma creciente por los cibercriminales que tienen como objetivo los usuarios móviles. Una de sus últimas creaciones permite cifrar archivos almacenados en las tarjetas de memoria SD instaladas en los dipositivos Android.
Una nueva amenaza denominada Android/Simplock A ha sido identificada por los investigadores de la compañía de antivirus ESET, y aunque no es el primer programa de malware tipo rescate para Android, es el primero que ve la compañía que mantiene archivos como rehén cifrándolos. Otras aplicaciones de malware vistas hasta ahora, como Android Defender, descubierto en junio de 2013, y Android Koler, descubierto en mayo, utilizan técnicas de bloqueo de pantalla y alertas persistentes para interrumpir la operación normal de dispositivos infectados.
“Android/Simplocker A escanea la tarjeta SD buscando archivos con cualquiera de las siguientes extensiones de imagen, video o documentos: jpeg, jpg, png, bmo, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4, y puede cifrarlos utilizando AES (el standard de cifrado avanzado)”, afirman los investigadores de ESET. El malware mostrará entonces un mensaje de rescate en ruso solicitando el pago de 260 grivnas ucranianos (unos 21,40 dólares americano), realizado a través de un servicio denominado MoneXy, lo que sugiere que, por lo menos hasta ahora, esta amenaza tiene como objetivo los países de habla rusa.
La utilización del cifrado para mantener archivos como rehén es una técnica que se ha hecho popular entre desarrolladores de malware de Cryptolocker, un programa de malware de tipo rescate que ha infectado a más de 250.000 computadoras en los tres últimos meses de 2013.
El FBI y las agencias de cumplimiento de la ley en otros países, se incautaron de los servidores de mando y control utilizados por Cryptolockercomo parte de una operación reciente que también afectó al centro de Gameover tipo Zeus.
“Nuestro análisis de la muestra de Android/Simplock A, reveló que estábamos probablemente tratando con una prueba de concepto o un trabajo en marcha, por ejemplo la implantación del cifrado no se parece al “infame cryptlocker en Windows”, han afirmado los investigadores de ESET.
La nueva amenaza, enmascarada con una aplicación denominada “Sex xionix”, no se encontró en Google Play y su distribución parece más factible ahora que en el pasado.
Otro aspecto interesante de Simplocker A es que utiliza una dirección de dominio Command-and Control tipo cebolla. El domino tipo cebolla seudo máximo nivel se utiliza únicamente dentro de la red de anonimato Tor para acceder los denominados servicios escondidos.
Una vez instalada en un dispositivo, la aplicación tipo rescate manda información identificable del dispositivo, como el número IMEI dentro del servidor C&C, y espera recibir un comando para descifrar los archivos, presuntamente después de que se ha confirmado el pago.
“Aunque el malware contiene funcionalidad para descifrar los archivos, recomendamos encarecidamente que no se realice ningún pago, no sólo porque ello motivará a otros autores de software malicioso a continuar con este tipo de operaciones, sino porque no hay garantía de que mantendrán su parte del acuerdo y realmente los descifren”, han explicado los investigadores de ESET.
– Lucian Constantin, IDG News Service
