Ransomware kérdéssé vált, nem csak azok a számítógépek segítségével, de az Android felhasználók számára is. Míg a legtöbb Android ransomware valójában nem titkosítja a fájlokat, zárja be a képernyő, akkor van pár. Egy új ransomware, DoubleLocker, megfigyelték, hogy az ESET a kutatók, nem csak titkosítja a fájlokat, hanem megváltoztatja a készülék PIN-kódot, amely lényegében nem zárja ki a készülék.
Az Android malware terjed keresztül egy rosszindulatú Adobe Flash frissítés. Ez a nyereség rendszergazdai jogokkal, beállítja magát, mint az alapértelmezett Home alkalmazás, titkosítja a fájlokat, majd változások a PIN-kódot, így nem fér hozzá a készülék. Úgy tűnik, hogy csatlakozik a hírhedt Svpeng Android banki Trójai, mivel ez alapján ugyanazt a kódot.
A Svpeng banki Trójai egyik első Android malware, hogy képes volt ellopni a pénz a bankszámlán keresztül, SMS-alapú számla kezelése szolgáltatások, hamis bejelentkező képernyők, így a felhasználók vagy hagyja magát becsapni ad el az adatait, majd adjuk hozzá ransomware funkciók. DoubleLocker használja ugyanazt a kódot, mint Svpeng, hogy a készülék lezárása, illetve a fájlok titkosítása, de ellentétben Svpeng, nem tartalmazza a kódot, hogy ellopja bank kapcsolatos információkat.
DoubleLocker terjed keresztül hamis Adobe Flash Player frissítés
Mint sok rosszindulatú, mind a számítógép, Android, ez egy terjed keresztül hamis Adobe Flash frissítés. A fertőzés nagyon könnyű, látogasson el a kérdéses weboldal, kéri, hogy frissítse Adobe Flash Player annak érdekében, hogy tekintse meg a tartalmát, majd, ha egyszer le a rosszindulatú frissítés, a ransomware belül.
“Ha egyszer elindul, az app aktiválást a malware akadálymentesítési szolgáltatás neve “a Google Play Szolgáltatás”. Miután a malware szerez a hozzáférési engedélyeket, használja őket, hogy aktiválja a készüléket rendszergazdai jogokkal, majd állítsa be magát, mint az alapértelmezett Home alkalmazás, mindkét esetben anélkül, hogy a felhasználó hozzájárulása, az” ESET Lukáš Štefanko magyarázza.
Újra beindul minden alkalommal, amikor a felhasználó megnyomja a Home gombot
Ha nyer a szükséges rendszergazdai jogok titkosítja az adatokat, majd lezárja a képernyőt. Ahelyett, hogy a szokásos háttérben, akkor egy zsarolólevelet. Ellentétben sok más Android malware, DoubleLocker nem titkosítja a fájlokat, ami azt jelenti, hogy kevés az esély arra, hogy visszaszerezze őket. Hozzáteszi, hogy az .cryeye kiterjesztése az összes érintett fájlokat.
“A titkosítási megfelelően végrehajtották, ami azt jelenti, hogy, sajnos, nincs mód arra, hogy visszaállítani a fájlokat, anélkül, hogy megkapta a titkosítási kulcsot a támadók,” Štefanko magyarázza.
Amikor a malware zárolja a készüléket, megváltozik a PIN-kódot, de nem tárol bárhol, akkor a bűnözőket nem volna ez, de a kutatók már nem lehet visszaállítani. Ha a váltságdíjat fizetett a támadók távolról PIN-kód visszaállítása, felszabadítása a készülék.
A kutatók azt is vegye figyelembe, hogy a ransomware elindul, ha a felhasználó eléri a Home gombot. Minden alkalommal, amikor a Home gomb megnyomásával a ransomware aktiválja, ami azt jelenti, még akkor is, ha a felhasználó kezeli, hogy megkerülje a zár, ha ezek nyomja meg a Home gombot, a képernyőn lenne zárva újra.
Gyári beállítások visszaállítása szükség annak érdekében, hogy megszabaduljon a DoubleLocker
Annak érdekében, hogy feltárja a készülék, a felhasználókat arra kérik, hogy fizessen 0.0130 Bitcoin, amely mintegy 70 dollár. Sajnos nem lehet visszaállítani az adatokat, kivéve, ha készített biztonsági mentést minden előtt fertőzés. Annak érdekében, hogy megszabaduljon a DoubleLocker, a felhasználóknak meg kell végre egy teljes gyári visszaállítás.
“Gyökeres készülékek, azonban van egy módszer, hogy elmúlt a PIN-lock nélkül a gyári beállítások visszaállítása. A módszer működik, a készülék szükség van, hogy a hibakeresési mód, mielőtt a ransomware van kapcsolva. Ha ez a feltétel teljesül, akkor a felhasználó képes kapcsolódni a készülék által ADB, majd távolítsa el a system fájlt, ahol a PIN-tárolt által Android. Ez a művelet feloldja a képernyőt úgy, hogy a felhasználó hozzáférhet a készülék. Akkor működik csökkentett módban, a felhasználó kikapcsolása készülék rendszergazda jogokat a malware, majd távolítsa el azt. Néhány esetben a készülék újraindításra van szükség,” az ESET magyarázza.