Android ransomware DoubleLocker traži 70 dolara za dešifrovanje podataka

Mobilni telefoni, 16.10.2017, 11:30 AM

Android ransomware DoubleLocker traži 70 dolara za dešifrovanje podataka

Novi ransomware koji cilja Android uređaje i koji je nazvan DoubleLocker zloupotrebljava Accessibility servis Androida i aktivira se ponovo svaki put kada korisnik pritisne dugme Home.

Ovaj ransomware ima veze sa zloglasnim bankarskim trojancem Svpeng, jednim od najstarijih i najinovativnijih Android malvera. Svepeng je bio prvi Android bankarski trojanac koji je krao novac sa bankovnih računa preko servisa za upravljanje nalozima baziranim na SMS porukama, prvi koji je lažnim prozorima prekrivao legitimne aplikacije banaka, prvi koji je menjao PIN kodove i kao prvi bankarski trojanac kome je dodata funkcija ransomwarea blokirao uređaje i tražio otkup.

Istraživač iz kompanije ESET Lukas Stefanko, koji je analizirao novi ransomware, kaže da je DoubleLocker baziran na kodu uzetom od bankarskog trojanca Svpeng i kodu koji je potreban za zaključavanje i šifrovanje fajlova. Kod Svpenga koji je odgovoran za bankarske prevare nije uključen u DoubleLocker, bar za sada.

U poređenju sa drugim Android ransomwareima, DoubleLocker je kompleksniji i sofisticiraniji.

Do infekcije dolazi tako što korisnici budu prevareni da instaliraju malcioznu Flash Player aplikaciju na uređaju. Ta aplikacija traži pristup Accessibility servisu. Ako korisnik odobri pristup, Accessibility servis omogućava malicioznoj aplikaciji da oponaša kucanje korisnika. Aplikacija zloupotrebljava ovu funkciju za pristup podešavanjima Androida i obezbeđuje sebi administratorska prava. Posle toga, DoubleLocker menja korisnikov PIN slučajno izabranim PIN kodom i šifruje sve fajlove na uređaju AES algoritmom.

DoubleLocker je trenutno jedan od svega nekoliko Android ransomwarea koji zaista šifruje fajlove. Većina drugih Android ransomwarea samo zaključava ekran.

Druga osobenost DoubleLockera je njegov način rada: malver se aktivira svaki put kada korisnik pritisne dugme Home. Ransomware to postiže tako što postavlja sebe kao podrazumevani pokretač aplikacija na uređaju. DoubleLocker ovo koristi kao mehanizam za opstanak na uređaju, da bi sprečio korisnike da nekako zaobiđu zaključavanje ekrana. Ako korisniku to pođe za rukom, pritisak na Home ponovo pokreće ransomware i ponovo zaključava uređaj.

Malver ne šalje PIN kod ni enkripcijski ključ autorima, ali kada žrtva plati otkup, napadači mogu daljinski resetovati PIN i otključati uređaj.

DoubleLocker traži 0,013 Bitcoina (oko 70 dolara) za šifrovane fajlove koji imaju ekstenziju .cryeye.

Zanimljivo je da je CryEye ime malvera koji je nastao izmenama bankarskog trojanca Svpeng a koji se u avgustu prodavao na hakerskim forumima.

Onima koji su inficirali uređaje DoubleLockerom preostaje samo opcija fabričkog resetovanja uređaja. Više o tome možete naći na blogu kompanije ESET.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje

Signal uveo podršku za korisnička imena u aplikaciji

Signal uveo podršku za korisnička imena u aplikaciji

Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje