Ransomware est en train de devenir un problème non seulement pour ceux qui utilisent des ordinateurs, mais pour les utilisateurs d’Android. Alors que la plupart des Android ransomware n’est pas réellement chiffrer tous les fichiers, ils ont juste de verrouillage de l’écran, il y a quelques qui ne. Un nouveau ransomware, DoubleLocker, a été repéré par ESET chercheurs, et non seulement crypte vos fichiers, mais aussi les changements de votre appareil PIN, qui, essentiellement, serrures de votre appareil. « DoubleLocker pouvez changer les BROCHES, à empêcher les victimes d’accéder à leurs appareils, et également de crypter les données qu’il trouve en eux – une combinaison qui n’a pas été vu précédemment dans l’écosystème Android, » le ESET report explains.
Le Android malware se propage via un malveillant mise à jour Adobe Flash. Il gagne de l’administrateur des droits de l’, se définit comme l’Accueil par défaut de l’application, qui permet de crypter vos fichiers, et les modifications de votre code PIN si vous ne pouvez pas accéder à l’appareil. Il semble être liée à la célèbre Svpeng Android bancaire cheval de Troie, car il est basé sur le même code.
Le Svpeng bancaire cheval de Troie est l’un des premiers malwares pour Android qui a été en mesure de voler de l’argent provenant de comptes bancaires par SMS compte de la gestion des services, de faux écrans de connexion de sorte que les utilisateurs sont trompés en donnant leurs informations d’identification, et d’ajouter ransomware fonctionnalités. DoubleLocker utilise le même code que Svpeng pour le verrouiller et crypter des fichiers, mais à la différence de Svpeng, il ne comprend pas le code pour voler la banque de l’information connexe.
DoubleLocker se propage par le biais de faux Adobe Flash Player à jour
Comme beaucoup de logiciels malveillants, à la fois ordinateur et Android, celui-ci se propage via de fausses mises à jour Adobe Flash. L’Infection est très simple, vous visitez une douteuse site web, il vous demande de mettre à jour Adobe Flash Player afin de visualiser le contenu, et une fois que vous téléchargez le malveillant mise à jour, le ransomware est à l’intérieur.
« Une fois lancée, l’application demande l’activation du malware d’accessibilité du service, nommé “Google Play Services”. Après le malware obtient les autorisations d’accessibilité, il les utilise pour activer le périphérique de droits d’administrateur et de s’imposer comme l’Accueil par défaut de l’application, dans les deux cas, sans le consentement de l’utilisateur, » ESET Lukáš Štefanko explique.
Réactive à chaque fois que l’utilisateur appuie sur le bouton Home
Une fois qu’il gagne tous les droits d’administrateur, il crypte vos données et de verrouillage de votre écran. Au lieu de l’habituel fond, vous verrez une demande de rançon. Contrairement à beaucoup d’autres malwares pour Android, DoubleLocker n’a crypter vos fichiers, ce qui signifie qu’il y a peu de chance que vous soyez de retour. Il ajoute de la .cryeye extension de tous les fichiers concernés.
“Le chiffrement est mise en œuvre correctement, ce qui signifie que, malheureusement, il n’y a aucun moyen de récupérer les fichiers sans recevoir la clé de chiffrement des assaillants,” Štefanko explique.
Lorsque les logiciels malveillants de verrouillage de votre appareil, il change le code PIN, mais ne pas le stocker n’importe où, de sorte que les criminels n’ont pas, et les chercheurs ne peuvent pas le récupérer. Lorsque la rançon est payée, les pirates à distance peut réinitialiser le code PIN de déverrouillage de votre appareil.
Les chercheurs notent également que le ransomware lance lorsque l’utilisateur appuie sur le bouton Home. Chaque fois que le bouton Home est pressé, le ransomware active, ce qui signifie que même si l’utilisateur parvient à contourner le verrou, si elles appuyez sur le bouton Home, l’écran se verrouille à nouveau.
Factory reset nécessaire afin de se débarrasser de DoubleLocker
Pour déverrouiller l’appareil, les utilisateurs sont invités à payer 0.0130 Bitcoin, qui est autour de 70$. Malheureusement, il n’y a aucun moyen de récupérer les données, sauf si vous avez sauvegardé tout avant l’infection. Et afin de se débarrasser de DoubleLocker, les utilisateurs doivent effectuer un plein réinitialisation d’usine.
« Pour enracinée appareils, cependant, il existe une méthode pour obtenir au-delà de la GOUPILLE de verrouillage sans une réinitialisation d’usine. Pour la méthode de travail, l’appareil devait être dans le mode de débogage avant le ransomware est active. Si cette condition est remplie, alors l’utilisateur peut se connecter à l’appareil par la BAD et de supprimer le système de fichiers où le PIN est stockée par Android. Cette opération déverrouille l’écran de sorte que l’utilisateur peut accéder à leur appareil. Ensuite, le travail en mode sans échec, l’utilisateur peut désactiver l’appareil de droits d’administrateur pour les logiciels malveillants et de le désinstaller. Dans certains cas, un redémarrage de l’appareil est nécessaire, » ESET explique.