Android ransomware DoubleLocker traži 70 dolara za dešifrovanje podataka

Mobilni telefoni, 16.10.2017, 11:30 AM

Android ransomware DoubleLocker traži 70 dolara za dešifrovanje podataka

Novi ransomware koji cilja Android uređaje i koji je nazvan DoubleLocker zloupotrebljava Accessibility servis Androida i aktivira se ponovo svaki put kada korisnik pritisne dugme Home.

Ovaj ransomware ima veze sa zloglasnim bankarskim trojancem Svpeng, jednim od najstarijih i najinovativnijih Android malvera. Svepeng je bio prvi Android bankarski trojanac koji je krao novac sa bankovnih računa preko servisa za upravljanje nalozima baziranim na SMS porukama, prvi koji je lažnim prozorima prekrivao legitimne aplikacije banaka, prvi koji je menjao PIN kodove i kao prvi bankarski trojanac kome je dodata funkcija ransomwarea blokirao uređaje i tražio otkup.

Istraživač iz kompanije ESET Lukas Stefanko, koji je analizirao novi ransomware, kaže da je DoubleLocker baziran na kodu uzetom od bankarskog trojanca Svpeng i kodu koji je potreban za zaključavanje i šifrovanje fajlova. Kod Svpenga koji je odgovoran za bankarske prevare nije uključen u DoubleLocker, bar za sada.

U poređenju sa drugim Android ransomwareima, DoubleLocker je kompleksniji i sofisticiraniji.

Do infekcije dolazi tako što korisnici budu prevareni da instaliraju malcioznu Flash Player aplikaciju na uređaju. Ta aplikacija traži pristup Accessibility servisu. Ako korisnik odobri pristup, Accessibility servis omogućava malicioznoj aplikaciji da oponaša kucanje korisnika. Aplikacija zloupotrebljava ovu funkciju za pristup podešavanjima Androida i obezbeđuje sebi administratorska prava. Posle toga, DoubleLocker menja korisnikov PIN slučajno izabranim PIN kodom i šifruje sve fajlove na uređaju AES algoritmom.

DoubleLocker je trenutno jedan od svega nekoliko Android ransomwarea koji zaista šifruje fajlove. Većina drugih Android ransomwarea samo zaključava ekran.

Druga osobenost DoubleLockera je njegov način rada: malver se aktivira svaki put kada korisnik pritisne dugme Home. Ransomware to postiže tako što postavlja sebe kao podrazumevani pokretač aplikacija na uređaju. DoubleLocker ovo koristi kao mehanizam za opstanak na uređaju, da bi sprečio korisnike da nekako zaobiđu zaključavanje ekrana. Ako korisniku to pođe za rukom, pritisak na Home ponovo pokreće ransomware i ponovo zaključava uređaj.

Malver ne šalje PIN kod ni enkripcijski ključ autorima, ali kada žrtva plati otkup, napadači mogu daljinski resetovati PIN i otključati uređaj.

DoubleLocker traži 0,013 Bitcoina (oko 70 dolara) za šifrovane fajlove koji imaju ekstenziju .cryeye.

Zanimljivo je da je CryEye ime malvera koji je nastao izmenama bankarskog trojanca Svpeng a koji se u avgustu prodavao na hakerskim forumima.

Onima koji su inficirali uređaje DoubleLockerom preostaje samo opcija fabričkog resetovanja uređaja. Više o tome možete naći na blogu kompanije ESET.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zbog problema sa otključavanjem telefona, neke banke povukle svoje aplikacije za Samsung Galaxy S10 iz Play prodavnice

Zbog problema sa otključavanjem telefona, neke banke povukle svoje aplikacije za Samsung Galaxy S10 iz Play prodavnice

Bezbednosni propust koji omogućava otključavanje Samsung Galaxy S10 zaštićenog otiskom prsta bilo čijim prstom, bio je dovoljan da banke odluč... Dalje

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Nakon medijskih izveštaja da čitač otiska prsta u Samsung Galaxy S10 telefonima otključava uređaj i kad skenira neregistrovane otiske prstiju pre... Dalje

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Par iz Velike Britanije primetio je čudnu grešku na svom Samsung Galaxy S10 koja omogućava da se zaobiđe čitač otiska prsta kako bi se otključ... Dalje

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Uprkos Googleovim naporima da njegova prodavnica Android aplikacija bude bez malvera, maliciozne aplikacije i dalje nekako uspevaju da prođu proces p... Dalje

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Skoro svaka aplikacija sadrži bezbednosne propuste, od kojih će neki možda biti otkriveni već danas, ali drugi će ostati nevidljivi dok ih neko n... Dalje