Los expertos anti-malware de Kaspersky Lab han descubierto una modificación del troyano bancario móvil Faketoken que puede cifrar los datos de los usuarios.
Disfrazado de varios programas y juegos, incluyendo Adobe Flash Player, el troyano también puede robar credenciales de más de 2.000 aplicaciones financieras de Android. Hasta la fecha, Faketoken ha afectado a más de 16.000 víctimas en 27 países, la mayoría ubicados en Rusia, Ucrania, Alemania y Tailandia.
La nueva capacidad de cifrado de datos es inusual, ya que la mayoría de los ransomwares móviles se centran en bloquear el dispositivo en lugar de la información, que generalmente se respalda a la nube.
En el caso de Faketoken, los datos, incluidos los documentos y archivos multimedia, como imágenes y vídeos, se cifran utilizando un algoritmo simétrico AES que, en algunos casos, puede ser descifrado por el usuario sin pagar un rescate.
· El troyano está diseñado para robar datos a escala internacional: una vez que todos los derechos necesarios están aprobados, descarga una base de datos de su servidor de comando y control que contiene frases en 77 idiomas para diferentes localizaciones de dispositivos, incluyendo el español.
· Durante el proceso inicial de infección, el troyano exige derechos de administrador, permiso para superponer otras aplicaciones o convertirse una app SMS por defecto. Entre otras cosas, estos derechos permiten a Faketoken robar datos.
