El primer troyano cifrador de datos para móviles

A mediados de mayo, un escritor de virus puso un troyano de cifrado para Android a la venta en su foro. Pedía 5.000 dólares por él. Pocos días después, el 18 de mayo, vimos la aparición de un nuevo troyano cifrador para teléfonos móviles que detectamos como Trojan-Ransom.AndroidOS.Pletor.a.

Hasta el 5 de junio, habíamos detectado más de 2.000 infecciones en 13 países, la mayoría de la antigua Unión Soviética. Azerbaiyán, Bielorrusia, Canadá, Georgia, Alemania, Grecia, Kazajistán, Corea del Sur, Rusia, Singapur, Tayikistán, Ucrania y Uzbekistán. El punto de mayor distribución de Trojan-Ransom.AndroidOS.Pletor.a se alcanzó el 22 de mayo, cuando detectamos 500 nuevas infecciones.

Hasta ahora, hemos identificado más de 30 modificaciones del troyano que se pueden dividir en dos grupos. El primero usa la red Tor para comunicarse con sus dueños; el segundo utiliza los más comunes canales HTTP y SMS para hacerlo. Además, cuando las modificaciones del segundo grupo solicitan dinero del usuario, muestran la imagen de la víctima usando la cámara frontal del Smartphone

Los creadores de Trojan-Ransom.AndroidOS.Pletor.a emplean los mismos temas “¡Se ha bloqueado tu teléfono por ver pornografía prohibida [pedofilia, zoofilia, etc.]!” que utilizaban los escritores de versiones más antiguas de cifradores para Windows

En todos los demás aspectos, respeta la funcionalidad de los troyanos chantajistas. Las modificaciones de AndroidOS.Pletor.a no son una excepción. Después de ejecutarse, el troyano comienza a cifrar los contenidos de las tarjetas de memoria del Smartphone usando el algoritmo de cifrado AES. Le interesan los archivos multimedia y documentos con las siguientes extensiones: .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4.

De inmediato, Trojan-Ransom.AndroidOS.Pletor.a muestra sus demandas al usuario. Todas las modificaciones del troyano que encontramos muestran un mensaje en ruso y están dirigidas a usuarios de dos países: Rusia y Ucrania. Los cibercriminales exigen 260 grivnas o 1.000-1.200 rublos a sus víctimas. Emplean QIWI VISA WALLET, MoneXy o transferencias comunes entre teléfonos para recibir los pagos.

Trojan-Ransom.AndroidOS.Pletor.a no utiliza spam de SMS para propagarse; en la mayoría de los casos, lo hace desde sitios de pornografía falsos haciéndose pasar por reproductores multimedia. También hemos visto casos en los que se distribuye fingiendo ser un juego o una aplicación para Android. Trojan-Ransom.AndroidOS.Pletor.a también se propaga mediante un foro de teléfonos móviles en ruso.

Si tu smartphone está infectado con Trojan-Ransom.AndroidOS.Pletor.a, te recomendamos que no pagues a los cibercriminales. Todas las versiones del troyano que hemos visto tienen una llave que se puede usar para descifrar los archivos comprometidos. También puedes escribirnos a newvirus@kaspersky.com y adjuntar los archivos infectados.