Ransomware er å bli et problem ikke bare for de som bruker datamaskiner, men for Android-brukere også. Mens de fleste Android-ransomware faktisk ikke kryptere alle filene, de bare låse skjermen, det er noen som gjør det. En ny ransomware, DoubleLocker, har blitt oppdaget av ESET forskere, og at det ikke bare krypterer dine filer, men også endringer i enhetens PIN-kode, som i hovedsak låser deg ut av enheten.
Android-malware sprer seg via en ondsinnet Adobe Flash-oppdatering. Det får administratorrettigheter, angir seg selv som standard Home-programmet, krypterer filene dine, og endrer PIN-koden, slik at du ikke tilgang til enheten. Det synes å være koblet til den beryktede Svpeng Android bank Trojan, som det er basert på samme kode.
Den Svpeng bank Trojan er en av de første Android-malware som var i stand til å stjele penger fra bank kontoer via SMS-basert konto administrere tjenester, falske innloggingssider slik at brukere blir lurt til å gi fra seg sine rettigheter, og legge til ransomware funksjoner. DoubleLocker bruker den samme koden som Svpeng til å låse enheten og kryptere filer, men i motsetning til Svpeng, det inkluderer ikke kode for å stjele bank relatert informasjon.
DoubleLocker sprer seg via falske Adobe Flash Player-oppdatering
Akkurat som mange av malware, både datamaskinen og Android, dette sprer seg via falske Adobe Flash oppdateringer. Infeksjon er ganske enkelt, du besøke tvilsomme nettsider, det ber deg om å oppdatere Adobe Flash Player for å se innholdet, og når du laster ned ondsinnet oppdatering, ransomware er inne.
«Når lansert, app ber om aktivering av malware er tilgjengelighet-tjenesten, som heter «Google Play-Tjeneste». Etter skadelig programvare får tillatelsene, bruker dem for å aktivere enheten administrator rettigheter og angir seg selv som standard Home-programmet, i begge tilfeller uten brukerens samtykke,» ESETS Lukáš Štefanko forklarer.
Reaktiverer hver gang brukeren trykker på Hjem-knappen
Når det får all nødvendig administrator rettigheter, krypterer dine data og låser skjermen. I stedet for den vanlige bakgrunnen, vil du se en løsepenge for notatet. I motsetning til mange andre Android-malware, DoubleLocker gjør kryptere filer, noe som betyr at det er liten sjanse for at du vil få dem tilbake. Det legger .cryeye forlengelse til alle berørte filene.
«Kryptering er implementert på riktig måte, noe som betyr at, dessverre, det er ingen måte å gjenopprette filer uten å motta krypteringsnøkkelen fra angriperne,» Štefanko forklarer.
Når den skadelige programvaren låser enheten, endrer PIN-koden, men ikke lagre den hvor som helst, slik at de kriminelle ikke har det, og forskerne kan ikke gjenopprette det. Når løsepenger er betalt, kan hackere eksternt tilbakestille PIN-koden til å låse opp enheten.
Forskere har også oppmerksom på at ransomware starter når brukeren treffer på Hjem-knappen. Hver gang Hjem-knappen er trykket inn, ransomware aktiverer, noe som betyr at selv om brukeren klarer å omgå låseskjermen, hvis de trykker på Hjem-knappen skjermen ville bli låst igjen.
Fabrikk reset nødvendig for å bli kvitt DoubleLocker
For å låse opp enheten, brukerne er bedt om å betale 0.0130 Bitcoin, som er rundt $70. Dessverre er det ingen måte å gjenopprette data, med mindre du har tatt opp alt før infeksjon. Og for å bli kvitt DoubleLocker, brukere trenger for å utføre en full tilbakestilling.
«For forankret enheter, men det er en metode for å komme forbi PIN-låsen uten en fabrikktilbakestilling. For at metoden skal fungere enhet som trengs for å være i debugging-modus før ransomware fikk aktivert. Dersom dette vilkåret er oppfylt, da brukeren kan koble til enhet med ADB og fjerne system fil der PIN-koden er lagret av Android. Denne operasjonen låser opp skjermen, slik at brukeren kan få tilgang til sin enhet. Deretter arbeider i sikker modus, kan brukeren deaktivere enheten administrator-rettigheter for malware, og avinstaller det. I noen tilfeller, en enhet omstart er nødvendig,» ESET forklarer.