La nueva capacidad de cifrado de datos es inusual, ya que, como explican desde Kaspersky Lab, la mayoría de los 'ransomwares' móviles se centran en bloquear el dispositivo en lugar de la información, que generalmente se respalda a la nube.
En este caso, los datos, incluidos los documentos y archivos multimedia, se cifran utilizando un algoritmo simétrico AES que, en algunos casos, puede ser descifrado por el usuario, sin tener que pagar un rescate por recuperar nuestras fotos o vídeos personales.
En el proceso inicial de infección, el troyano exige derechos de administrador, permiso para superponer otras aplicaciones o convertirse una 'app' SMS por defecto. Entre otras cosas, esos derechos que otorga el usuario permiten al troyano robar datos, tanto directamente, como contactos o archivos, como de forma indirecta a través de páginas de 'phishing' (suplantación de identidad).
Faketoken está diseñado para robar datos a escala internacional. Una vez consigue los derechos, descarga una base de datos de su servidor de comando y control que contiene frases en 77 idiomas --incluído el español-- para adaptarse a las diferentes localizaciones de dispositivos. La infección ha afectado a más de 16.000 víctimas en 27 países, centrando el ataque en Rusia, Ucrania, Alemania y Tailandia.
Este sistema se utiliza para lanzar mensajes de 'phishing' y conseguir contraseñas de Gmail o superponer la aplicación Google Play, presentando una página falsa para robar los detalles de la tarjeta de crédito. De hecho, también puede descargar una lista de 'apps' para ataques o plantillas HTML para generar páginas de 'phishing' para las aplicaciones relevantes. Los expertos de Kaspersky Lab descubrieron una lista de 2.249 aplicaciones financieras.
La nueva versión de Faketoken también intenta reemplazar con sus propias versiones los accesos directos de aplicaciones para redes de medios sociales, mensajería instantánea y navegadores. El motivo no está claro ya que los iconos que sustituyen dirigen a las mismas aplicaciones legítimas.
"La última modificación del troyano Faketoken de banca móvil es interesante, ya que algunas de las nuevas variantes parecen no proporcionar un beneficio adicional a los ciberatacantes. Eso no significa que no debamos tomarlos en serio. Pueden representar la base para futuros desarrollos, o revelar la innovación continua de una familia de 'malware' en constante evolución. Al detectar la amenaza, podemos neutralizarla y mantener los dispositivos y sus datos a salvo", dijo el analista senior de 'malware' de Kaspersky Lab, Roman Unuchek.
Desde Kaspersky Lab aconsejan a los usuarios crear una copia de seguridad de todos los datos. Y advierten de que no se deben aceptar automáticamente los derechos y permisos cuando una 'app' pide que lo hagas. Por el contrario, insta a instalar un 'anti-malware' y a mantener los sistemas operativos actualizados.