Октомври 13, 2017

DoubleLocker: нов Android криптовирус с двойно действие

Ново поколение криптовирус, засичан от решенията на ESET като Android/DoubleLocker.A, стига много по-далеч от просто криптиране на информацията. Той използва вградени функционалности на операционната система за мобилни устройства Android, свързани с по-лесната достъпност за хора с увреждания. В основата на вируса е добре познатият троянец Android.BankBot.211, който краде банкова информация от засегнатите устройства.

DoubleLocker може да смени PIN кода на заразеното устройство, с което да възпрепятства достъпа на жертвите си до информацията на него. А, дори и тази защита да бъде преодоляна, вирусът криптира и данните – комбинация, която се вижда за пръв път в Android екосистемата.

Знаейки каква е основата на DoubleLocker – банков троянец – не е изключено това да бъде първият вирус крипто-банкер. Двуфакторната зараза първо опитва да изтрие банковата ви информация, а след това заключва информацията на устройството и изисква откуп,” коментира Лукаш Щефанко, анализаторът на ESET, разкрил вируса.

Разпространение

DoubleLocker се разпространява подобно на пра-родителя си – най-вече под формата на фалшив Adobe Flash Player чрез заразени сайтове.

След стартирането си, приложението изисква достъп до услугите за ползваемост на устройството (Accessibility services), преименувани като “Google Play Service”. След сдобиването с този достъп, вирусът ги използва за придобиване на администраторски достъп – след което се самоопределя за Home приложение по подразбиране, без да пита потребителя за това.

Заключване на информацията

След успешното си стартиране, DoubleLocker, дава две причини на жертвите си да платят откуп.

Първо, той променя PIN кода на устройството – с което на практика спира достъпа до него. Новият PIN е напълно произволен – и не се съхранява или изпраща където и да било, затова е невъзможно да бъде възстановен. След плащането на откупа, атакуващите променят PIN-а дистанционно.

Второ, DoubleLocker криптира всички файлове в основната памет за съхранение на данни на устройството и им дава разширения “.cryeye”.

Откупът за отключване на информацията е 0.0130 BTC (в момента – около 54 долара) – а срокът за плащането му е 24 часа. Дори и да не бъде платен, обаче, информацията на устройството няма да бъде изтрита.


Криптирани файлове на засегнато от DoubleLocker устройство


Съобщението, с което DoubleLocker изисква откуп

Как да се спасим от вируса?

В съобщението за откуп, е добавено предупреждение, че потребителят не трябва да се опитва да премахва по какъвто и да било начин или да блокира DoubleLocker: “Без [софтуера], никога няма да може да получите информацията си обратно”.

А за да предотвратят нежелано деинсталиране на „софтуера“, киберпрестъпниците дори препоръчват деактивиране на наличен антивирус на устройството.

Този съвет, обаче, е безсмислен – всички потребители с качествено антивирусно решение са защитени от DoubleLocker,” коментира Щефанко.

Единственият начин да се спасите от DoubleLocker е чрез възстановяването на фабричните настройки на устройството (factory reset).

За рутнати устройства има начин за възстановяване на последния наличен PIN код, без да се стига до ресет на софтуера. За да сработи този метод, устройството трябва  да бъде в режим debugging, преди да бъде активиран криптовируса. В този случай, потребителят може да свърже устройството през ADB и да премахне системния файл, в който се съхранява PIN кода от Android. Това действие ще отключи екрана и потребителят ще може да достъпи устройството си.

След това, в safe mode, потребителят може да деактивира администраторските права за устройството на вируса и да го деинсталира – като в някои случаи може да се наложи рестартиране.
За съжаление, тъй като информацията се съхранява на самото устройство, няма начин за възстановяването ѝ.

DoubleLocker е просто един от многото причини за потребителите на мобилни устройства да инсталират качествено антивирусно решение и да правят регулярно резервни копия на информацията си,” завършва Щефанко.