Cuando Simplocker fue identificado por primera vez en junio de 2014, posiblemente se consideró el primer ransomware para dispositivos Android que cifraba archivos. Sin embargo, la llave de cifrado fue codificada dentro del malware y no era única para cada dispositivo, es decir, que la supuesta "llave maestra", se podría utilizar simplemente para desbloquear cualquier dispositivo infectado sin pagar el rescate.

Ese ya no es el caso.

"Esta nueva variante tiene una forma más sofisticada de cifrar los archivos dentro del dispositivo",  dijo el analista de malware para móviles de Avast, Nikolaos Chrysaidos, al portal de noticias SCMagazine.com en una correspondencia por correo electrónico el martes. "Genera una llave única para cada dispositivo que infecte, por lo que es más difícil descifrar los archivos en cada dispositivo."

La última variante del Simplocker infecta a usuarios cuando navegan en sitios web de poca reputación, ahí se les alerta que es necesario descargar un "Flash Player" para ver videos, según se indicó en una publicación el miércoles. Una vez que la aplicación está instalada y abierta, "Flash Player" pide privilegios de administrador que, cuando se conceden, activan el ransomware.

Tras la activación, la mayoría de las víctimas se encuentran con una notificación que pretende ser del FBI. El ransomware afirma que "archivos sospechosos" se encontraron en el dispositivo y que los usuarios deben pagar una multa de $200 dólares para descifrar sus archivos. No hay límite de tiempo para desbloquear los archivos. "La pantalla principal de rescate se puede cambiar de acuerdo a la configuración regional de la tarjeta SIM del dispositivo infectado, por lo que los atacantes pueden cambiar la moneda que solicitan para el rescate, según las necesidades", dijo Chrysaidos.

"Estados Unidos es el principal objetivo para el ataque actual y la pantalla de advertencia del FBI se muestra en todos los países con excepción de los siguientes tres: Emiratos Árabes Unidos, Arabia Saudita e Irán."

Chrysaidos continuó: "Esto nos hace creer que la amenaza proviene de Medio Oriente, ya que las pantallas de rescate son hechas a medida para estos tres países, mientras que el resto del mundo ve la pantalla de advertencia del FBI."

Hasta ahora, Avast ha observado 5,500 ataques que la compañía fue capaz de prevenir, dijo Chrysaidos.

Avast recomienda que los usuarios afectados no paguen el rescate. En su lugar, que realicen una copia de seguridad de los archivos cifrados en un ordenador (esto no dañará a la computadora), inicien el teléfono en modo seguro, retiren la aplicación maliciosa desde la configuración del administrador, y desinstalen la aplicación desde el gestor de aplicaciones. Las víctimas tendrán que esperar hasta obtener una solución para descifrar los archivos que se han comprometido, se indica en la publicación.

Chrysaidos dijo que Simplocker cifra los archivos con numerosas extensiones, incluyendo DNG, doc, docx, jpg, jpeg, ppt, pdf, pptx, rtf, xls y zip.