I ricercatori di ESET hanno individuato il primo ransomware che sfrutta impropriamente i servizi di accessibilità di Android e che, oltre a crittografare i dati, può bloccare anche il dispositivo.
Rilevato dai prodotti ESET come Android/DoubleLocker, si basa sul progetto del Trojan bancario Android.BankBot.211.origin, riprogrammato per sfruttare impropriamente i servizi di accessibilità del sistema operativo Android. Tuttavia al DoubleLocker mancano le funzioni per sottrarre le credenziali bancarie e svuotare i conti degli utenti. Invece ha due potenti strumenti per estorcere denaro alle sue vittime.
DoubleLocker può cambiare il PIN del dispositivo così da impedire ai malcapitati di accedere ai propri dispositivi e ne codifica i dati – una combinazione di funzionalità che non si era mai vista prima nell’ecosistema Android.
“Considerando la sua natura di malware bancario, il DoubleLocker potrebbe facilmente trasformarsi in quello che poossiamo definire un ransom-banker. Un malware a due fasi che prima tenta di svuotare il tuo conto bancario o quello di PayPal e successivamente blocca il tuo dispositivo e i tuoi dati per richiedere un riscatto… Speculazioni a parte, già a Maggio 2017 abbiamo identificato in the wild una versione di test di un ransom-banker” commenta Lukáš Štefanko, il ricercatore malware di ESET che ha scoperto il DoubleLocker.
Distribuzione
Il DoubleLocker si diffonde in maniera molto simile ai malware bancari a cui è affine. Molto spesso viene distribuito come un falso Adobe Flash Player scaricato da siti Web compromessi.
Una volta avviata, l’app richiede l’attivazione del servizio accessibilità del malware, chiamato Google Play Service. Dopo aver ottenuto i permessi di accessibilità, il malware li usa per attivare i diritti di amministratore sul dispositivo e imposta sé stesso come applicazione Home predefinita, in entrambi i casi senza il consenso dell’utente.
“Impostarsi come app home predefinita è uno stratagemma per migliorare la persistenza del malware. Se l’utente clicca sul pulsante Home, il ransomware viene attivato e blocca nuovamente il dispositivo. Grazie all’uso del servizio di accessibilità, l’utente non capisce che premendo sul tasto Home esegue il malware” spiega Lukáš Štefanko.
Blocco del dispositivo e dei dati
Quando viene eseguito il DoubleLocker darà alla vittima due ragioni per pagare il riscatto.
Prima di tutto cambia il PIN del dispositivo, impedendo di fatto alla vittima di usarlo. Il nuovo PIN viene impostato usando un valore a caso che non viene registrato sul dispositivo o inviato da qualche parte, così da impedire all’utente o a un esperto di sicurezza di recuperarlo. Dopo il pagamento del riscatto, il criminale può rimuovere il PIN da remoto e sbloccare il dispositivo.
In secondo luogo il DoubleLocker codifica tutti i file contenuti nella directory principale del dispositivo. Per farlo utilizza l’algoritmo crittografico AES, aggiungendo al nome dei file l’estensione “.cryeye”.
Il riscatto è stato fissato a 0.0130 Bitcoin (attualmente circa 54 dollari USA) e nella richiesta viene specificato che dovrà essere pagato entro 24 ore. Tuttavia pur non pagando entro la scadenza i dati non verranno cancellati, ma rimarranno codificati.
Figura 1: i file codificati dal DoubleLocker su un dispositivo infettato
Figura 2: richiesta di riscatto del DoubleLocker
Come rimuoverlo?
Nella nota del riscatto si avvisa l’utente su quello che accadrebbe rimuovendo o bloccando le attività del DoubleLocker: “Senza [il software], non potrai più riavere i tuoi file originali”. Per evitare rimozioni involontarie del “software”, i truffatori arrivano persino a raccomandare di disabilitare il software antivirus dell’utente.
“Tali consigli sono irrilevanti: tutti quelli che utilizzano una soluzione di sicurezza valida suli proprio dispositivo sono protetti contro il DoubleLocker,” commenta Lukáš Štefanko.
Per gli utenti che vogliono rimuovere il ransomware DoubleLocker dai propri dispositivi, Lukáš Štefanko raccomanda di seguire quanto riportato:
Per i dispositivi non rooted e che non hanno una soluzione di gestione del dispositivo mobile installata capace di resettare il PIN, la sola possibilità per rimuovere il PIN dalla schermata di blocco è ripristinare le impostazioni di fabbrica del dispositivo.
Se il dispositivo è rooted allora l’utente ci si può connettere attraverso ADB e rimuovere il file dove viene salvato il PIN. Per poter effettuare questa attività sul dispositivo dovrà risultare abilitata la modalità di debug USB (Impostazioni -> Opzioni sviluppatore -> Debug USB).
Il PIN o la schermata di blocco con password verrà rimossa e l’utente potrà accedere al dispositivo. Successivamente, lavorando in modalità provvisoria, l’utente potrà privare il malware dei diritti di amministratore e disinstallarlo. In alcuni casi sarà necessario riavviare il dispositivo.
“DoubleLocker ribadisce agli utenti la necessità di avere una soluzione di sicurezza installata e di effettuare periodicamente il backup dei propri dati” conclude Lukáš Štefanko.
2 Comments