DoubleLocker: un ransomware Android inovator


Cercetătorii ESET au descoperit primul ransomware care utilizează în mod abuziv serviciul de accesibilitate Android. Pe lângă criptarea datelor, blochează și dispozitivul.

Detectat de produsele ESET ca Android / DoubleLocker.A, ransomware-ul se bazează pe datele unui troian bancar special, cunoscut pentru abuzul de servicii de accesibilitate ale sistemului de operare Android. Cu toate acestea, DoubleLocker nu are funcții legate de subtilizarea datelor bancare ale utilizatorilor și de ștergerea conturilor. În schimb, a primit două instrumente puternice pentru a fura bani de la victimele sale.

DoubleLocker poate schimba codul PIN al dispozitivului, împiedicând victimele să-și acceseze dispozitivele și criptează datele pe care le găsește în ele - o combinație care nu a fost văzută anterior în ecosistemul Android.

"Având în vedere rădăcinile malware-ului bancar, DoubleLocker ar putea fi transformat în ceea ce ar putea fi numit ransom-bankers. Soluție de tip malware în două etape care încearcă mai întâi să șteargă contul dvs. bancar sau PayPal și apoi vă blochează dispozitivul și datele pentru a solicita o răscumpărare ... Spectaculos pe deoparte, am văzut o versiune de testare a unui astfel de ransom-baker in-the-wild  încă din mai 2017, afirmă Lukáš Štefanko, cercetătorul malware al ESET, care a descoperit DoubleLocker.

Distribuire

[embed]https://youtu.be/odSWGPLEqt0[/embed]

DoubleLocker se răspândește în același fel ca celelalte secvențe malware bancare. Este distribuit mai ales ca un Adobe Flash Player fals prin intermediul site-urilor compromise.

Odată lansat, aplicația solicită activarea serviciului de accesibilitate malware, numit "Serviciu Google Play". După ce malware-ul obține permisiunile de acces, le folosește pentru a activa drepturile administratorului dispozitivului și se stabilește ca aplicație implicită Home, în ambele cazuri fără consimțământul utilizatorului.

"Setarea în sine ca aplicație implicită home - un launcher - este un truc care îmbunătățește persistența malware-ului. Ori de câte ori utilizatorul face clic pe butonul de pornire, programul de răscumpărare se activează și dispozitivul se blochează din nou. Din cauza utilizării serviciului de accesibilitate, utilizatorul nu știe că lansează programe malware accesând butonul Home", explică Štefanko.

Blocarea dispozitivului și a datelor

Odată executat pe dispozitiv, DoubleLocker creează două motive pentru care victimele trebuie să plătească.

În primul rând, modifică codul PIN al dispozitivului, blocând în mod efectiv victima de la utilizarea acestuia. Noul cod PIN este setat la o valoare aleatorie pe care atacurile nu o stochează și nici nu o trimite undeva, astfel încât este imposibil ca utilizatorul sau un expert în securitate să-l recupereze. După ce răscumpărarea este plătită, atacatorul poate reseta de la distanță PIN-ul și debloca dispozitivul.

În al doilea rând, DoubleLocker criptează toate fișierele din directorul de stocare principal al dispozitivului. Utilizează algoritmul de criptare AES, adăugând extensia ".cryeye". "Criptarea este implementată corect, ceea ce înseamnă că, din păcate, nu există nici o modalitate de a recupera fișierele fără a primi cheia de criptare de la atacatori", spune Štefanko.

Răscumpărarea a fost setată la 0,0130 BTC (aproximativ 54 USD la momentul scrierii acestui articol) și mesajul evidențiază faptul că trebuie plătit în termen de 24 de ore. Cu toate acestea, în cazul în care răscumpărarea nu este plătită, datele vor rămâne criptate și nu vor fi șterse.

Cum scăpați de troian?

În nota de răscumpărare, utilizatorul este avertizat să nu îndepărteze sau să blocheze în alt mod DoubleLocker: "Fără [software], niciodată nu veți putea obține înapoi fișierele originale".

Pentru a preveni eliminarea nedorită a "software-ului", infractorii recomandă chiar dezactivarea software-ului antivirus al utilizatorului.

"Aceste sfaturi sunt irelevante: toți cei cu o soluție de securitate de încredere instalată pe dispozitivele lor sunt în siguranță în fața DoubleLocker", explică Štefanko.

Singura opțiune viabilă de curățare a dispozitivului de ransomware-ul DoubleLocker este printr-o resetare la datele din fabrică.

Cu toate acestea, pentru dispozitivele rooted, există o metodă de a trece de blocarea PIN-ului fără o resetare la datele din fabrică. Pentru ca metoda să funcționeze, dispozitivul trebuia să se afle în modul de debugging înainte de activarea ransomware-ului.

Dacă această condiție este îndeplinită, utilizatorul se poate conecta la dispozitiv prin ADB și poate elimina fișierul de sistem unde PIN-ul este stocat de Android. Această operațiune deblochează ecranul astfel încât utilizatorul să poată accesa dispozitivul. Apoi, în Safe Mode, utilizatorul poate dezactiva drepturile administratorului dispozitivului pentru malware și îl poate dezinstala. În unele cazuri, este necesară o repornire a dispozitivului.

În ceea ce privește datele stocate pe dispozitiv, nu există nicio modalitate de recuperare, așa cum am menționat mai devreme.

"DoubleLocker servește drept un alt motiv pentru care utilizatorii de telefonie mobilă au instalat o soluție de securitate de încredere și să-și facă copii de rezervă în mod regulat", concluzionează Štefanko.

Georgiana October 16, 2017

Lasa un comentariu