El ransomware -es decir, el malware que "secuestra" tus archivos hasta que pagas el rescate- no es ajeno a Android, aunque la última vez que hablamos de una amenaza similar fue hace ya dos años. Podría pensarse que los cibercriminales han encontrado otra afición o que las mejoras de seguridad de Android dificultan su extensión, pero investigadores de ESET han encontrado una nueva variante que se hace pasar por simulador de sexo.
Técnicamente no se diferencia mucho de otras internaciones del ransomware en Android, aunque lo que varía es el modo de extenderse: se envía por SMS a los contactos del móvil infectado, personalizados con el nombre del contacto y con un texto traducido a multitud de idiomas.
El simulador de sexo anticlimático
Otros ransomware y malware en general para Android se hacían pasar por juegos, pero el que ESET ha bautizado como Android.Filecoder.C usa instintos más básicos: el reclamo era el porno o, con frecuencia, un 'simulador de sexo' para Android.
Los enlaces con el APK malicioso se publicaron tanto en Reddit como en XDA Developers, en el primero acompañado de imágenes sugerentes y textos como "chicos, podéis ver muchos vídeos como este en la app". En XDA se usaba una táctica distinta, preguntar si alguien sabía como crackear la app para tener acceso a más de los "tres clímax" gratis.
Sin embargo, la aplicación no podía ser más anticlimática. En lugar de obtener el prometido simulador, la app enviaba mensajes SMS a tus contactos con un enlace para descargar la app. El texto del SMS está traducido a varios idiomas, eligiendo el más apropiado según el dispositivo, e incluía un texto como "Nombre, ¿cómo pueden poner tus fotos en esta app? Tenía que decírtelo + enlace de descarga ".
La app entonces hace amago de mostrar lo prometido, generalmente en el modo de un juego online, aunque el principal objetivo es mantenerte entretenido mientras se comunica en segundo plano con el servidor de control. Comienza entonces a cifrar casi todos los archivos de móvil a los que tiene acceso.
Se cifran archivos con determinada extensión, incluyendo JPG, ZIP, DOC, PDF o AVI, con algunas excepciones como evitar ZIP de más de 50 MB de tamaño o aquellos que se encuentran en carpetas temporales. Al terminar, muestra la siguiente ventana de aviso.
En la ventana se avisa de que los archivos se borrarán en 72 horas (aunque los investigadores de ESET aseguran que es un farol) a no ser que se pague una cantidad en torno a 0,01 Bitcoin (unos 100 euros ahora mismo).
Para recuperar los archivos, es necesario pagar la cantidad así como abrir una página web en la que introducir el hash de la transacción de Bitcoin y el número de usuario. Al hacerlo, en teoría recibes la clave de cifrado que se usará para descifrar tus archivos.
Por el momento parece que este malware no está teniendo mucho éxito, pues la dirección de Bitcoin a la que deben realizarse los pagos tiene un saldo de 0, aunque nos sirve para recordar una vez más los peligros de instalar apps de origenes turbios, aunque nos envíe el enlace uno de nuestros contactos a través de SMS.
Más información | ESET
Ver 4 comentarios