Android ransomware DoubleLocker traži 70 dolara za dešifrovanje podataka

Mobilni telefoni, 16.10.2017, 11:30 AM

Novi ransomware koji cilja Android uređaje i koji je nazvan DoubleLocker zloupotrebljava Accessibility servis Androida i aktivira se ponovo svaki put kada korisnik pritisne dugme Home.

Ovaj ransomware ima veze sa zloglasnim bankarskim trojancem Svpeng, jednim od najstarijih i najinovativnijih Android malvera. Svepeng je bio prvi Android bankarski trojanac koji je krao novac sa bankovnih računa preko servisa za upravljanje nalozima baziranim na SMS porukama, prvi koji je lažnim prozorima prekrivao legitimne aplikacije banaka, prvi koji je menjao PIN kodove i kao prvi bankarski trojanac kome je dodata funkcija ransomwarea blokirao uređaje i tražio otkup.

Istraživač iz kompanije ESET Lukas Stefanko, koji je analizirao novi ransomware, kaže da je DoubleLocker baziran na kodu uzetom od bankarskog trojanca Svpeng i kodu koji je potreban za zaključavanje i šifrovanje fajlova. Kod Svpenga koji je odgovoran za bankarske prevare nije uključen u DoubleLocker, bar za sada.

U poređenju sa drugim Android ransomwareima, DoubleLocker je kompleksniji i sofisticiraniji.

Do infekcije dolazi tako što korisnici budu prevareni da instaliraju malcioznu Flash Player aplikaciju na uređaju. Ta aplikacija traži pristup Accessibility servisu. Ako korisnik odobri pristup, Accessibility servis omogućava malicioznoj aplikaciji da oponaša kucanje korisnika. Aplikacija zloupotrebljava ovu funkciju za pristup podešavanjima Androida i obezbeđuje sebi administratorska prava. Posle toga, DoubleLocker menja korisnikov PIN slučajno izabranim PIN kodom i šifruje sve fajlove na uređaju AES algoritmom.

DoubleLocker je trenutno jedan od svega nekoliko Android ransomwarea koji zaista šifruje fajlove. Većina drugih Android ransomwarea samo zaključava ekran.

Druga osobenost DoubleLockera je njegov način rada: malver se aktivira svaki put kada korisnik pritisne dugme Home. Ransomware to postiže tako što postavlja sebe kao podrazumevani pokretač aplikacija na uređaju. DoubleLocker ovo koristi kao mehanizam za opstanak na uređaju, da bi sprečio korisnike da nekako zaobiđu zaključavanje ekrana. Ako korisniku to pođe za rukom, pritisak na Home ponovo pokreće ransomware i ponovo zaključava uređaj.

Malver ne šalje PIN kod ni enkripcijski ključ autorima, ali kada žrtva plati otkup, napadači mogu daljinski resetovati PIN i otključati uređaj.

DoubleLocker traži 0,013 Bitcoina (oko 70 dolara) za šifrovane fajlove koji imaju ekstenziju .cryeye.

Zanimljivo je da je CryEye ime malvera koji je nastao izmenama bankarskog trojanca Svpeng a koji se u avgustu prodavao na hakerskim forumima.

Onima koji su inficirali uređaje DoubleLockerom preostaje samo opcija fabričkog resetovanja uređaja. Više o tome možete naći na blogu kompanije ESET.