El Ramsomware para Android, Simplocker, ha regresado y ahora se hacer pasar como la NSA.


Nuevas encriptaciones del ransomware Simplocker infecta a decenas de miles alrededor del mundo, viene ahora con una nueva interfaz como estrategia.



Simplocker, el ransomware para Android que fue descubierto por ESET y Kaspersky en el 2014, y que también hizo una reaparición a principios de enero, se ha visto de nuevo, encriptando decenas de miles de dispositivos de Android.

Este nuevo capítulo de la familia Simplocker que ha sido descubierto y analizado por la empresa de seguridad Check Point, también observó algunos cambios en el funcionamiento de esta nueva versión.

En primer lugar, el ransomware, que era conocido previamente por mostrar mensajes del FBI, ahora se hace pasar por la NSA. Pero eso no es todo. Si el usuario se encuentra en otro país, Simplocker tiene la capacidad de detectar este detalle y mostrar un mensaje localizado del lugar correspondiente.

Sigue infectando a usuarios a través de una aplicación de Flash Player

Lo único que no ha cambiado, es su capacidad para esconderse como una aplicación legítima, sigue usando su viejo truco de disfrazarse como una aplicación de Flash Player.


Una vez que el usuario hace clic en el botón "Activar" esta aplicación falsa, desata el infierno, y poco a poco va tomando el control del teléfono.

Primero inicia el contacto con su servidor de comando y control (C & C), y muestra un anuncio en toda la pantalla del usuario, mientras esto sucede, poco a poco empieza a encriptar los archivos.

Como en todo moderno ransomware, la clave de cifrado se guarda en el servidor de C & C, que en este caso, según Check Point ha observado, es contactado a través de mensajes XMPP (Extensible Messaging and Presence Protocol)).

Esto también fue notado por Avast en enero, pero ahora, los investigadores de Check Point encontraron un nuevo artilugio en su modo de operación.

"Observamos [...] que los operadores del malware utilizan un proceso automatizado detrás de un nodo TOR anónimo para extraer los mensajes del C & C y enviar los comandos de respaldo a los dispositivos", señala Ofer Caspi de Check Point. "Los cientos de miles de mensajes que hemos interceptados muestran que esto no es un incidente trivial, sino más bien una campaña muy seria y organizada".

La mayoría de los antivirus son capaces de detectarlo

Check Point ha descubierto que las cuentas XMPP en las comunicaciones del C & C divulgan las operaciones del servidor XMPP, que para entonces estaban desactivadas.

Sin embargo, la actual campaña de Simplocker es todavía aún más fuerte, el único detalle positivo es que la mayoría de los motores antivirus parecen detectar muy fácilmente cuando se enfrentan a él.


Actualmente el equipo de Check Point estima que hay decenas de miles de dispositivos Android infectados, y más de 10.000 usuarios han pagado el rescate que oscila entre $ 200 / € 180 a $ 500 / € 450.

Si te gustan las cosas geek, Check Point ha proporcionado una técnica de auditoria en su blog que paso a paso explica la infección de Simplocker.



Fuente: Softpedia