La aplicación se presenta como Reproductor Flash para Android, utiliza un protocolo de mensajería instantáneo (También conocido como XMPP) para poder comunicarse con los servidores C&C.
Investigaciones recientes por Check Point Software Technologies han revelado que este malware es diferente de todos los demás ransomware de móviles debido a su singular método de comunicación con los servidores. Utiliza Mensajes Extensibles y Protocolos de presencia para poder comunicarse con los servidores C&C.
Aquí tiene lo que han descubierto las investigaciones:
Nuestra muestra de Ransomware usa un acercamiento diferente con sus comunicaciones. Utiliza un protocolo de mensajería instantáneo común llamado XMPP (Protocolo de Mensajería y Presencia Extensible) para enviar información desde el dispositivo infectado y para recibir comandos como encriptar los archivos del usuario con una clave de encriptación proporcionada, enviar SMS, llamar a números de teléfono, etc.
Utilizar XMPP hace mucho más difícil que los dispositivos de seguridad puedan seguir el tráfico del malware C&C así como distinguirlo de otro tráfico XMPP legítimo. También hace imposible bloquear tráfico monitorizando URLs sospechosas. Además, como su técnica utiliza una librería de funciones externa para manejar la comunicación, el malware no necesita instalar ninguna aplicación adicional en el dispositivo. Como XMPP es compatible con TLS, la comunicación entre el cliente y el servidor también se encripta de manera nativa.
No es difícil verse en esta situación – cuando descargue e instale (acepte todos los términos y condiciones, da los permisos, etc.) este falso Reproductor Flash, encripta inmediatamente la mayor parte de los datos almacenados en su dispositivo móvil.
¿Cómo saber si su dispositivo está infectado? Bien, para empezar, verá una foto como esta (mire la foto de debajo):
Además, recibirá SMS con alertas que le dicen que si falla el pago del rescate en las siguiente 48 horas, se triplicará. Es una amenaza clásica para asustar a los usuarios y provocarles para que hagan el pago.
Incluso aunque la mayoría de dispositivos infectados con este ransomware están localizados en los EE. UU., algunos de ellos también están en Europa y Asia. Como por ahora el 10 por ciento de las víctimas ya han pagado el ransomware. El rescate más bajo es de 200$ y puede subir hasta 500$.
Si su dispositivo ya está infectado con este ransomware, no le recomendamos pagar el rescate. Incluso aunque lo pague, no hay garantías de que sus archivos se des encripten.
Fuente: https://www.2-viruses.com/mobile-malwares/new-unusual-android-ransomware