La empresa de seguridad Check Point ha detectado un nuevo tipo de ransomware muy peligroso.
En este caso se trataría de una variante del troyano Simplocker, que iría camuflado en diferentes apps (juegos, utilidades, etc.). Las apps requieren permisos de administrador, que las víctimas acabarán otorgando por no fijarse. Una vez se conceden los permisos, el troyano puede realizar sus tareas con total libertad. Así que, encripta todo el contenido de la memoria interna y la tarjeta SD… y ya está liada.
Con otros tipos de ransomware, los antivirus o programas de seguridad se daban cuenta de que había algo raro cuando el software malicioso se conectaba con un servidor (por https) para obtener las claves de encriptación y gestionar los pagos del rescate. Cuando se interceptaban las operaciones extrañas bloqueaban el malware. Pero, la novedad de esta versión es que se comunica a través del protocolo de mensajería instantánea XMPP lo que dificulta la detección del software de seguridad.
El resultado es el típico, una vez encriptado el contenido del terminal, el ransomware muestra una pantalla simulando ser en esta ocasión la NSA o autoridades locales, amenazando y solicitando la cifra de rescate (500 dólares en moneda Bitcoin).
Hasta la fecha, Check Point indica que se han infectado docenas de miles de móviles, y que sus víctimas han pagado cientos de miles de dólares en rescates. Se han detectado variantes en Arabia Saudí, Emiratos Árabes y otros países, y no se descarta que llegue a España.
¿Cómo protegerse?
No instalar contenidos de origen dudoso, mantener en la medida de los posible actualizado el sistema operativo y usar herramientas de seguridad. Pero lo más importante hacer copias de seguridad frecuentes. Por supuesto, no hay que pagar el rescate. El pago no garantiza la recuperación de la información, y ayuda a fomentar esta forma de delitos.
En resumen, be careful my friend.
