Aparecen nuevas variantes del ransomware Simplocker para Android

Escrito por Rubén Velasco
Android
0

El ransomware es el tipo de malware más peligroso que existe en la actualidad. Este malware se encarga de secuestrar el smartphone y los archivos y pide un rescate económico al usuario para recuperar tanto el acceso al dispositivo como a los archivos que han sido cifrados por el malware. En Android, el primer ransomware en comenzar a cifrar los archivos ha sido Simplocker.

Los investigadores de seguridad de Kaspersky y ESET han detectado las primeras variantes del ransomware Simplocker, conocido por ser el primero en cifrar los archivos en dispositivos Android de forma similar a como ocurre en otros sistemas operativos como Windows. Estas variantes, por lo general, se han centrado en modificar las formas de pago para adaptarse a nuevos objetivos y en mejorar su seguridad para evitar ser fácilmente descifradas por aplicaciones de seguridad.

Los principales cambios que han aparecido en las nuevas variantes del ransomware son:

  • Mientras algunas variantes usan un dominio Onion en Tor otras utilizan un servidor oculto en un dominio C&C
  • Se modifica la forma en la que se indica que el rescate de datos ha sido pagado para evitar engañar al malware
  • Diferentes ventanas a la hora de mostrar el mensaje de infección
  • Algunas versiones utilizan la cámara para tomar una foto de la víctima y mostrarla en el ataque

Aparte de las técnicas de infección y distribución con las que comenzó el malware a distribuirse (a través de descargas de aplicaciones ilegales y correos electrónicos de SPAM), este malware ha empezado también a aparecer en varias páginas web para adultos que solicitan la descarga de un “plugin” para reproducir un vídeo y a través de downloaders que se distribuyen en internet, por ejemplo, en falsas aplicaciones relacionadas con el esperado y buscado GTA 5.

simplocker-variante-android-foto

Los troyanos downloader cada vez son más habituales en Android y su funcionamiento es muy similar al de Windows: son configurados de forma remota por el pirata informático de manera que cuando infecta un sistema automáticamente comienzan a descargar el malware desde un servidor remoto. Un estudio sobre algunos de los downloader de estas nuevas variantes de Simplocker muestra cómo estas aplicaciones no apuntan directamente a un servidor remoto con Simplocker en formato APK sino que simplemente se conectan a un servidor redirigido, hecho que podrá servir de punto de inflexión para realizar una investigación sobre los posibles orígenes y responsables de estos ransomware.

Actualmente las diferentes aplicaciones existentes para descifrar los archivos funcionan en algunas variantes, sin embargo, otras de las versiones derivadas de Simplocker han cambiado su código y ya no son compatibles con la ingeniería inversa para obtener las claves de descifrado. Habrá que esperar a ver si las principales firmas de seguridad consiguen actualizar sus aplicaciones de seguridad y hacerlas compatibles con estas nuevas variantes.

¿Qué opinas de las nuevas variantes de Simplocker? ¿Crees que debemos preocuparnos por el avance del malware para dispositivos móviles?

Fuente: We Live Security