Descripciones de malware

El primer troyano cifrador de datos para móviles

A mediados de mayo, un escritor de virus puso un troyano de cifrado para Android a la venta en su foro. Pedía 5.000 dólares por él. Pocos días después, el 18 de mayo, vimos la aparición de un nuevo troyano cifrador para teléfonos móviles que detectamos como Trojan-Ransom.AndroidOS.Pletor.a.

Hasta el 5 de junio, habíamos detectado más de 2.000 infecciones en 13 países, la mayoría de la antigua Unión Soviética. Azerbaiyán, Bielorrusia, Canadá, Georgia, Alemania, Grecia, Kazajistán, Corea del Sur, Rusia, Singapur, Tayikistán, Ucrania y Uzbekistán. El punto de mayor distribución de Trojan-Ransom.AndroidOS.Pletor.a se alcanzó el 22 de mayo, cuando detectamos 500 nuevas infecciones.

Hasta ahora, hemos identificado más de 30 modificaciones del troyano que se pueden dividir en dos grupos. El primero usa la red Tor para comunicarse con sus dueños; el segundo utiliza los más comunes canales HTTP y SMS para hacerlo. Además, cuando las modificaciones del segundo grupo solicitan dinero del usuario, muestran la imagen de la víctima usando la cámara frontal del Smartphone

android_locker_011

Los creadores de Trojan-Ransom.AndroidOS.Pletor.a emplean los mismos temas “¡Se ha bloqueado tu teléfono por ver pornografía prohibida [pedofilia, zoofilia, etc.]!” que utilizaban los escritores de versiones más antiguas de cifradores para Windows

En todos los demás aspectos, respeta la funcionalidad de los troyanos chantajistas. Las modificaciones de AndroidOS.Pletor.a no son una excepción. Después de ejecutarse, el troyano comienza a cifrar los contenidos de las tarjetas de memoria del Smartphone usando el algoritmo de cifrado AES. Le interesan los archivos multimedia y documentos con las siguientes extensiones: .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4.

De inmediato, Trojan-Ransom.AndroidOS.Pletor.a muestra sus demandas al usuario. Todas las modificaciones del troyano que encontramos muestran un mensaje en ruso y están dirigidas a usuarios de dos países: Rusia y Ucrania. Los cibercriminales exigen 260 grivnas o 1.000-1.200 rublos a sus víctimas. Emplean QIWI VISA WALLET, MoneXy o transferencias comunes entre teléfonos para recibir los pagos.

Trojan-Ransom.AndroidOS.Pletor.a no utiliza spam de SMS para propagarse; en la mayoría de los casos, lo hace desde sitios de pornografía falsos haciéndose pasar por reproductores multimedia. También hemos visto casos en los que se distribuye fingiendo ser un juego o una aplicación para Android. Trojan-Ransom.AndroidOS.Pletor.a también se propaga mediante un foro de teléfonos móviles en ruso.

Si tu smartphone está infectado con Trojan-Ransom.AndroidOS.Pletor.a, te recomendamos que no pagues a los cibercriminales. Todas las versiones del troyano que hemos visto tienen una llave que se puede usar para descifrar los archivos comprometidos. También puedes escribirnos a newvirus@kaspersky.com y adjuntar los archivos infectados.

El primer troyano cifrador de datos para móviles

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada