Android: DoubleLocker ransomware krypterar data och ändrar PIN-koder

0 Shares

En ny ras av Android-ransomware har upptäckts som träffar offren med en dubbel whammy. DoubleLocker krypterar inte bara data som all ransomware gör, det ändrar också PIN-koden på målenheten.

DoubleLocker upptäcktes av säkerhetsforskare på ESET. De säger att ransomware missbrukar Android-tillgänglighetsinställningarna och är den första som använder en dubbellåsningsmetod. Baserat på tidigare släppt banktjänster är det dock att en testversion av DoubleLocker kunde ha varit i naturen sedan så tidigt som i maj.

Trots bankrötterna är ransomware enbart inriktat på att extrahera pengar från offren som en lösen – det går inte att komma åt bankinformation som är lagrad på en telefon eller surfplatta. DoubleLocker sprider sig som en falsk version av Adobe Flash Player, och den använder ett smart trick för att säkerställa att den aktiveras – möjliggör tillgänglighetstjänster och ställer in sig själv som standard-hemapp.

Lukáš Štefanko, ESET-malware-forskaren som upptäckte DoubleLocker, förklarar:

Att ställa in sig själv som en standard hemapp – en launcher – är ett trick som förbättrar skadlig programvaras uthållighet. När användaren klickar på hemknappen aktiveras ransomware och enheten låses igen. Tack vare att man använder tillgänglighetstjänsten vet inte användaren att de startar skadlig programvara genom att slå hem.

När den är aktiv kommer DoubleLocker först att ändra enhetens PIN-kod till ett slumpmässigt nummer. Det lagras inte på målenheten, så det finns inget sätt att avgöra vad det är. Detta är det första incitamentet för ett offer att betala en lösen, och när detta har betalats kan PIN-koden återställas på distans. Att kryptera data med AES-krypteringsalgoritm, lägga till tillägget “.cryeye” är det andra incitamentet.

Štefanko noterar:

Krypteringen implementeras korrekt, vilket innebär att det tyvärr inte finns något sätt att återställa filerna utan att få krypteringsnyckeln från angriparna.

Om du har en säkerhetskopia av dina data är det möjligt att ta bort ransomware utan att behöva hosta några pengar, eftersom ESET delar:

Det enda lönsamma alternativet att rengöra enheten från DoubleLocker-ransomware är via en fabriksåterställning.

För rotade enheter finns det dock en metod för att komma förbi PIN-låset utan fabriksåterställning. För att metoden ska fungera behövde enheten vara i felsökningsläget innan ransomware aktiverades.

Om detta villkor är uppfyllt kan användaren ansluta till enheten via ADB och ta bort systemfilen där PIN-koden lagras av Android. Denna åtgärd låser upp skärmen så att användaren kan komma åt sin enhet. Då, i säkert läge, kan användaren inaktivera enhetsadministratörsrättigheter för skadlig programvara och avinstallera den. I vissa fall behövs en omstart av enheten.

När det gäller data lagrad på enheten finns det inget sätt att återställa den.

Bildkredit: jiangdi / Shutterstock

0 Shares