A mediados de Mayo, según apuntan los laboratorios Kaspersky, un troyano con capacidad de cifrado para plataformas Android se anunciaba en foros de la zona "oscura" de la red. Costaba en torno a 5000 €. Unos días después, el 18 de Mayo, se descubrió la aparición de un nuevo troyano encriptador cuyo nombre asignado es Trojan-Ransom.AndroidOS.Pletor.a.

El día 5 de Junio, Kaspersky había detectado ya unas 200 infecciones en 13 países, sobre todo repartidas entre ex-repúblicas soviéticas: Azerbayán, Bielorrusia, Georgia, Kazajstán, Taiyikistán, Uzbekistán, pero también países como Corea del Sur, Rusia, Alemania, Grecia o Canadá.

El pico de infecciones del troyano Trojan-Ransom.AndroidOS.Pletor.a se alcanzó el día 22 de Mayo, con unas 500 por día.

Diferentes versiones

Este malware ha ido mutando rápidamente, conociéndose ya más de 30 modificaciones del troyano que se pueden dividir en dos subgrupos.

El grupo 1 hace uso de la red Tor para comunicarse con "los malos", mientras el grupo 2 utiliza un método de comunicación más habitual, que consiste en combinar protocolo HTTP y envío de SMS. Además, cuando las modificaciones en el segundo grupo demandan más dinero al usuario (porque esto es Ransomware, tan de moda últimamente)lo que hacen es mostrarle a dueño del teléfono una imagen de sí mismo mediante la cámara delantera del aparato.

Funcionamiento del troyano

En cuanto al resto de funcionalidades, no hay diferencias entre versiones. Tras arrancar, el troyano comienza a encriptar el contenido del smartphone (la tarjeta SD) utilizando el tipo de algoritmo AES. Se supone que rastrea el equipo en busca de archivos personales: .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4.

Después viene la parte que a todos nos encanta, cuando nos piden el dinero. La proclama se realiza en ruso, al menos para la versión analizada por Kaspersky, que era destinada a mercados de habla rusa. El resultado es que si no pagamos unos 1100 rublos no recuperaremos los archivos. Como medios de pago se ofrece QIWI VISA Wallet (un monedero popular en la zona) así como MoneXy o incluso transferencias habituales entre teléfonos para emitir pagos.

Lo que no parece hacer este troyano es utilizar los SMS para difundirse. Lo normal es que lo encontremos camuflado en páginas de contenido explícito y actuando como un reproductor de vídeo. Otras veces, sin embargo, puede simular ser una aplicación útil para Android.

No paguéis a los delincuentes

En el caso de que no tengáis copias de seguridad de vuestros archivos y resultéis afectados por Trojan-Ransom.AndroidOS.Pletor.a, os recomendamos que no accedáis a regalar vuestro dinero. Todas las versiones de este troyano tienen una clave que puede usarse para desencriptar los archivos de nuevo.

Como está claro que para hacerlo, algo hay que saber del tema, también podéis poneros en contacto con los amables técnicos de Kaspersky en newvirus@kaspersky.com .