Ransomware är att bli ett problem inte bara för dem som använder datorer, men för Android-användare. Medan de flesta Android ransomware faktiskt inte krypterar alla filer, de bara låsa skärmen, finns det några som gör det. En ny ransomware, DoubleLocker, har setts av ESET forskare, och det inte bara krypterar dina filer, utan också ändringar i enhetens PIN-kod, som i huvudsak lås dig ur din enhet. DoubleLocker Android ransomware locks your screen and encrypts your data”DoubleLocker kan ändra enhetens PIN-kod, som hindrar offren från att komma åt sina enheter, och även krypterar data som den finner i dem – en kombination som du inte har sett tidigare i androids ekosystem”, ESET report explains.

Android-malware sprider sig via en skadlig Adobe Flash uppdatering. Det av administratör rättigheter, ställer sig som standard Hem ansökan, krypterar dina filer och ändrar din PIN-kod så att du inte kommer åt enheten. Det verkar att vara ansluten till den beryktade Svpeng Android bank Trojan, eftersom det är baserat på samma kod.

Android ransomware locks your screen and encrypts your data

Den Svpeng bank Trojan är en av de första Android-malware som kan stjäla pengar från bankkonton via SMS-baserade konto för att hantera tjänster, falska logga in skärmar så att användare luras att ge bort sina referenser, och lägga till ransomware funktioner. DoubleLocker använder samma kod som Svpeng för att spärra enheten och kryptera filer, men till skillnad från Svpeng, det innehåller inte koden för att stjäla bank information.

DoubleLocker sprids via falska Adobe Flash Player-uppdatering

Precis som en hel del av skadlig kod, både datorer och Android, detta sprids via falska Adobe Flash uppdateringar. Infektion är ganska enkelt, du besöker ett tveksamt webbplats begär att du uppdaterar din Adobe Flash Player för att se innehållet, och när du laddar ner skadlig uppdateringen ransomware är inne.

”En gång startade, app begär aktivering av skadlig kod är tillgänglig service, som heter ”Google Play”. Efter skadlig kod får tillgång behörigheter, använder dem för att aktivera enhetsadministratören rättigheter och satt som default Hem tillämpning, i båda fallen utan användarens medgivande,” ESET: s Lukáš Štefanko förklarar.

Reaktiverar varje gång användaren trycker på Hem-knappen

När det vinner alla nödvändiga administratör rättigheter, den krypterar dina data och lås din skärm. Istället för den vanliga bakgrunden, kommer du att se en gisslan anteckning. Till skillnad från många andra Android-malware, DoubleLocker gör att kryptera dina filer, vilket innebär att det är liten chans att du kommer att få tillbaka dem. Det ger .cryeye förlängning till alla drabbade filer.

”Den kryptering som genomförs på rätt sätt, vilket innebär att det, tyvärr, finns det inget sätt att återställa filer utan att få krypteringsnyckeln från angriparna,” Štefanko förklarar.

När skadlig kod låser din enhet, det ändrar PIN-men det går inte att lagra den någonstans, så att brottslingar inte har det, och forskarna kan inte kräva det. När lösen är betald, hackare kan fjärråterställa PIN-kod för att låsa upp enheten.

Forskarna konstaterar också att den ransomware program som startas när användaren träffar på Hem-knappen. Varje gång knappen Hem trycks ned ransomware aktiveras, vilket innebär att även om användaren lyckas kringgå lås, om de trycker på Hem-knappen, skärmen skulle vara låst igen.

Factory reset (fabriksinställningar) som behövs för att bli av med DoubleLocker

För att låsa upp enheten, användare ombeds att betala 0.0130 Bitcoin, vilket är omkring $70. Tyvärr finns det inget sätt att återställa data, om du har säkerhetskopierat allt innan infektion. Och för att bli av med DoubleLocker, användare som behöver utföra en fullständig fabriksåterställning.

”För rotade enheter, men det är en metod för att komma förbi PIN-lås utan en fabriksåterställning. För metod för att arbeta, den enhet som behövs för att vara i debug-läge innan ransomware fick aktiverad. Om detta villkor är uppfyllt, då användaren kan ansluta till enhet med ADB och ta bort system-fil där PIN-koden lagras av Android. Denna funktion låser skärmen så att användaren kan komma åt sin enhet. Då, som arbetar i felsäkert läge användaren kan inaktivera enheten administratörsrättigheter för skadliga program och avinstallera det. I vissa fall kan en enhet omstart krävs,” ESET förklarar.

Kommentera