SLocker, el primer ransomware móvil que imita a WannaCry

WannaCry está sirviendo como fuente de inspiración a algunos imitadores. Es el caso de una nueva variante del ransomware móvil SLocker detectada por Trend Micro, la cual imita la interfaz gráfica de usuario del dañino WannaCry.

Más sobre Ciberseguridad... Ataques con exploits: de las amenazas diarias a las campañas dirigidas Informe Symantec sobre la seguridad de Internet (ISTR 2017) Informe sobre la responsabilidad de las entidades financieras ante el fraude electrónico Informe global sobre Seguridad de la Información 2016-2017 de EY La paradoja tras la experiencia del usuario con el cripto-ransomware

La familia SLocker es uno de los ransomware de cifrado de archivos y de bloqueo de la pantalla del móvil más antiguos. Después de unos años de escasa actividad, ésta ha experimentado un repentino resurgimiento en mayo pasado, con la aparición de una variante que destaca por ser un ransomware de cifrado de archivos de Android y el primer ransomware móvil para capitalizar el éxito del anterior brote de WannaCry.

Este ransomware se camufla bajo la apariencia de guías de juego, reproductores de vídeo, etc. para atraer a los usuarios a su instalación. Por ejemplo, la muestra original capturada por Trend Micro se hacía pasar por una herramienta de trucos para el juego King of Glory. Cuando se instala por primera vez, su icono se parece a una guía de juego normal o una herramienta de trucos, y una vez se ejecute, la aplicación cambia el icono y el nombre, desactivando la actividad original, junto con el fondo de pantalla del dispositivo infectado.

Trend Micro ha observado que el ransomware evita el cifrado de los archivos del sistema centrándose en los archivos descargados e imágenes, y solo cifra los archivos que tienen sufijos (archivos de texto, imágenes, vídeos). El ransomware se presenta a las víctimas con tres opciones para pagar el rescate, pero en la muestra analizada por Trend Micro, las tres llevaron al mismo código QR que pide a las víctimas que paguen a través de QQ (un servicio de pago por móvil muy popular en China). Si las víctimas se niegan a pagar después de tres días, el precio del rescate irá aumentando. El usuario es amenazado con la eliminación de todos los archivos después de una semana.

Afortunadamente, la trayectoria de la nueva variante de SLocker ha sido bastante breve, ya que poco después de que surgiera se publicaron herramientas de descifrado, y el sospechoso que supuestamente era responsable del ransomware fue arrestado por la policía china. Eso sí, después de que el ransomware inicial fuera expuesto han aparecido más variantes, lo que muestra que quienes están detrás de este malware no están ralentizando su actividad.