Bezpečnostní specialisté zveřejnili nález nového a zákeřnějšího ransomware, který cílí na zařízení s OS Android, který pojmenovali Doublelocker. Tento zákeřný vir dokáže kromě zašifrování dat i změnit PIN zařízení. Jedná se o první ransomware, který zneužívá služby pro usnadnění přístupu.
Doublelocker se šíří primárně přes falešnou Adobe Flash aplikaci, která je ke stažení na kompromitovaných serverech. Po instalaci požádá o spuštění služby pro usnadnění přístupu pojmenované „Google Play Service“, přes kterou neoprávněně a bez uživatelova vědomí získá administrativní práva a nastaví se jako výchozí spouštěná aplikace při zmáčknutí tlačítka Home.
Soubory jsou následně zašifrovány pomocí AES algoritmu. Na rozdíl od jiných malware pro Android zařízení, Doublelocker implementuje šifrování bez chyb a odšifrování dat bez jejich ztráty je tak bez zaplacení výkupného pravděpodobně nemožné. Po zaplacení výkupného v ceně 0.013 BTC útočník PIN dálkově resetuje a zařízení tak krom odšifrování i odblokuje.
Alternativním řešením je reset do továrního nastavení, čímž jsou ale data ztracena.
Ransomware je postaven na stejném základě jako bankovní trojský kůň BankBot, jehož zdrojový kód byl na internetu zveřejněn ke konci roku 2016. Doublelocker na rozdíl od BankBotu nesbírá přístupové údaje, ale šifruje a uzamyká zařízení. Podle specialisty na malware Lukáše Štefánka ,který ransomware objevil, si lze v blízké budoucnosti představit verzi, která obě funkce kombinuje.
Zdroj ESET
Autor: Vojtěch Bínek, redaktor vydavatelství AVERIA LTD.
