Investigadores de la empresa de seguridad ESET han descubierto el primer software malicioso en móviles capaz de cifrar los archivos de datos de un teléfono inteligente Android, un ataque de rescate similar a Cryptolocker.

Llamado "Simplocker", el troyano ruso escanea la tarjeta SD o la tarjeta de almacenamiento interno del dispositivo, cifrando cualquier archivo de datos que encuentre en su camino. Incluye una amplia gama de extensiones, entre las más comunes .jpg, .doc, .avi y .mp4. Utiliza el cifrado AES de 256 bits.

Una vez cifrado el teléfono, la pantalla de inicio muestra un mensaje [traducido del ruso]: "!ADVERTENCIA, su teléfono ha sido bloqueado! El dispositivo está bloqueado por visualización y distribución de pornografía infantil, zoofilia y otras perversiones". Antes de exigir 260 grivnas ucranianas (alrededor de nueve dólares), los cuales deben ser pagados a través de MoneXy a cambio de la devolución de los datos.

Una característica inusual es que el command and control del malware (C&C) opera utilizando el servicio de anonimización Tor. Además, no parece proporcionar una clave de desbloqueo convencional, averigua primero qué víctimas han pagado a través de un canal cifrado al relacionar las transferencias monetarias con el número de identificación IMEI del teléfono inteligente.

ESET reconoce que la prevalencia del malware es actualmente muy baja. Hasta ahora únicamente se dirige a los usuarios de Android en los países de habla rusa, quienes se infectan después de la descarga de una aplicación llamada "Sex xionix" desde una tienda de aplicaciones de terceros.

Si bien la amenaza por parte de esta aplicación resulta muy baja, su propósito no lo es. Lo que comienza en sitios de malware rusos tiene la tendencia de eventualmente transformarse en ataques más complejos en otros mercados. No puede haber ninguna duda de que el malware cifrado en su forma más severa estará llegando a la población más amplia de dispositivos Android en algún momento.

ESET se esfuerza en distinguir Simplocker de otros tipos de malware móvil que utilizan la táctica de rescate en formas también molestas pero de gravedad menor. Un ejemplo reciente fue el ataque LockScreen, viniculado a Reveton el cual exigía un rescate después de fastidiar al usuario con popups que hacían del teléfono inteligente algo inmanejable.

Probablemente, el primer ataque de este tipo fue "Android Defender" en junio pasado, el cual exigía un pago a cambio de limpiar el dispositivo de malware inexistente.

Aunque alarmantes, los ataques de rescate para Android no cifran los archivos de tal manera que los datos se vuelvan imposibles de recuperar sin tener que pagar. Aunque el malware cifrado es común en las computadoras de escritorio (basta con recordar a Cryptolocker), Simplocker es el primer ejemplo en utilizar este enfoque en un dispositivo móvil.

"Nuestro análisis de la muestra Android/Simplock.a reveló que estamos muy probablemente ante una prueba de concepto o de un trabajo en progreso. Es decir, la implementación del cifrado no se acerca al conocido Cryptolocker en Windows," dijeron los investigadores de ESET.

"Sin embargo, el malware es completamente capaz de cifrar los archivos del usuario, los cuales pueden perderse si no se recupera la clave de cifrado. Mientras que el malware contenga funcionalidad para descifrar los archivos, recomendamos encarecidamente no pagar por varios motivos. En primer lugar, si el usuario paga, podría motivar a otros autores de malware para continuar este tipo de operaciones sucias y además, porque no hay garantía de que el delincuente mantenga su parte del trato y descifre los archivos."

La buena noticia es que los usuarios de teléfonos inteligentes y tabletas Android tienen más defensas contra este tipo de ataques, siempre y cuando realicen una copia de seguridad de sus archivos en la nube de Google. Eso les permitiría simplemente reiniciar su teléfono y reincorporar sus archivos. No parece que Simplocker vaya tras el almacenamiento en la nube, aunque esa copia de seguridad podría convertirse en un objetivo en el futuro.