Koler.A, el malware que extorsiona a usuarios de Android que navegan en sitios porno.

El código malicioso se llama "Trojan.Koler.A" y es de la familia de los "ransomware", un tipo de malware que se caracteriza por bloquear los dispositivos infectados hasta que la víctima paga un "rescate" (cuya traducción en inglés es "ransom", de ahí el nombre del troyano).

Según informó en su blog la empresa de seguridad informática BitDefender, el malware se activa al navegar en cierto sitios pornográficos, cuando "una aplicación que aparece como un reproductor de vídeo para acceder a pornografía premium se descarga automáticamente".

Una vez instalado, "Trojan.Koler.A" identifica la ubicación de la víctima (mediante su IP) y le muestra en pantalla un mensaje en su idioma: "Atención! Tu teléfono ha sido bloqueado por las cuestiones de seguridad listadas a continuación. Todas las acciones del teléfono están bloqueadas. Todos tus archivos están encriptados".

Entre esas "cuestiones", que se listan simulando ser un mensaje de las autoridades locales, figura la "violación de la Declaración Mundial de no proliferación de la pornografía infantil" y la infracción de leyes que protegen los derechos de autor.

La compañía explicó que el troyano deshabilita el botón "Regresar" en el teléfono, aunque permite acceder a la "Home".

En esa instancia, el malware exige un pago de 300 dólares para desbloquear el equipo, según BitDefender.

"Después de volver a la pantalla Home, tenés cinco segundos para desinstalar la aplicación antes de que un cronómetro lleve al código malicioso a segundo plano. Esto sucederá cada cinco segundos hasta que pagues el rescate”, señala BitDefender.

"La mala noticia es que, para el momento en que ves el mensaje, los chicos malos ya tienen tu IMEI (un código pregrabado que viene en los teléfonos e identifica a todos los aparatos del mundo de forma unánime) en un archivo. La buena noticia es que Koler.A puede ser fácilmente removido, ya sea presionando la pantalla Home, navegando hacia la app, y arrastrándola hasta la parte superior de la pantalla donde se ubica el control de desinstalación, o bien reseteando el dispositivo en modo seguro y luego desinstalando la app”, señaló la firma de seguridad.

BitDefender estimó que detrás de "Trojan.Koler.A" está las misma "prolífica pandilla" que desarrolló el troyano "Revetol / Icepol", que entre 2012 y 2013 infectó cientos de miles de computadoras.

"Era sólo cuestión de tiempo para que la prolífica pandilla detrás de Reveton / Icepol se moviera a Android", indicó.

Consolidado como líder en el mercado de los teléfonos inteligentes, el sistema operativo desarrollado por Google logró un crecimiento significativo el año pasado (nucleó, por ejemplo, el 82 por ciento del total de los equipos vendidos en el tercer trimestre de 2013 en el mundo), lo que hace que sea cada vez más un blanco deseado por los ciberdelincuentes.

En ese sentido, el malware descubierto es la segunda pieza de "ransomware" para Android de la que se tiene conocimiento hasta el momento. En septiembre pasado, la también compañía de seguridad informática Symantec alertó sobre el troyano "Fakedefender Trojan", que alertaba a los usuarios de Android que su equipo se encontraba en peligro y los presionaba para comprar un falso antivirus.

El malware denunciado ahora "podría ser una prueba de funcionamiento para que los cibercriminales puedan ver qué tan bien puede monetizarse este tipo de estafa en las plataformas móviles. Si es ese el caso, deberíamos esperar que pronto emerjan cepas de ransomwere mucho más sofisticadas, capaces de cifrar archivos", considerío BitDefender. (Telám)