Ransomware para Android activado en TOR

Recientemente ESET ha analizado un troyano conocido como Android/Simplocker que escanea la tarjeta SD de un dispositivo con Android en busca de ciertos tipos de archivos, los cifra, y exige el pago de un rescate para descifrarlos. Constituye el primer malware de la familia Filecoder destinado al sistema operativo de Google.

El siguiente mensaje es el que se muestra en pantalla una vez que Simplocker infectó al dispositivo:

ransom

Como podemos observar, el mensaje está escrito en ruso y el pago es exigido en grivnas ucranianas(o hryvnias), por lo que podemos asumir que la amenaza está dirigida a usuarios de esa región. Esto no nos sorprende, ya que los primeros troyanos SMS (incluido Android/Fakeplayer) allá por 2010 también se originaban en Rusia y Ucrania.

También contacta al servidor de Comando y Control (C&C) y manda información del dispositivo,como por ejemplo el número IMEI. Curiosamente, el servidor C&C está hosteado en un dominio .onionde TOR, con el objetivo de proteger el anonimato del atacante.

Contenido completo en fuente original We Live Security

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s