La crisi del mercato PC e la diffusione dei dispositivi mobile ha “costretto” i cybercriminali a cambiare target. Recentemente è stato individuato un nuovo ransomware, denominato Simplocker, che colpisce gli utenti Android. A differenza del precedente trojan, che si limitava a visualizzare un finto messaggio relativo ad una presunta violazione delle leggi, questo nuovo malware è più pericoloso, in quanto usa la crittografia per impedire l’accesso ai file presenti sulla card SD.
Il ransomware è stato scoperto da ESET, che ha descritto in dettaglio il funzionamento. Dopo il lancio, Simplocker visualizza un messaggio in russo, mentre in background viene effettuata la scansione del contenuto della memory card. I file vengono cifrati usando l’algoritmo AES, se la memoria esterna contiene documenti, immagini o video nei formati jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp e mp4. Il testo mostrato sul display specifica che l’utente non potrà più aprire i file finché non pagherà un riscatto di 250 Hryvnia (la valuta ucraina), pari a circa 16 euro, utilizzando il sistema di pagamento MoneXy (non rintracciabile).
Dopo aver ricevuto la somma, i cybercriminali sbloccheranno lo smartphone entro 24 ore. Molto spesso però ciò non accade e l’utente perde anche tutti i dati. ESET ha notato che Simplocker contatta un server C&C (Command&Control) e invia alcune informazioni sul dispositivo, tra cui l’IMEI. Interessante il fatto che questo server è ospitato da un dominio .onion, quindi è nascosto dietro il network TOR.
Il codice del malware è stato identificato nell’app Sex xionix che, come spesso accade, non si trova sul Google Play Store. I consigli sono sempre gli stessi: installare le app solo da fonti sicure, utilizzare un antivirus ed effettuare il backup dei dati. Attualmente, la diffusione dei ransomware su Android è ancora limitata, ma in futuro il loro numero potrebbe aumentare.