Ransomware DoubleLocker afecta los servicios del sistema Android

Publicado el Por Notimundo
Ransomware DoubleLocker afecta los servicios del sistema Android
DoubleLocker afecta a sistemas Android

La compañía de seguridad informática ESET, detecta que ‘Android/DoubleLocker. A’ se basa en los fundamentos de un troyano bancario regular que utiliza los servicios de accesibilidad del sistema Android.

Sin embargo, DoubleLocker recolecta las credenciales bancarias de los usuarios o elimina sus cuentas, sino que se encarga de extorsionarlos mediante dos poderosas herramientas.

DoubleLocker puede cambiar el PIN del dispositivo, evitando que el usuario pueda tener acceso a él, además de encriptar los datos que encuentra. Esta combinación de acciones anteriormente no se había visto en el ecosistema Android. Debido a que está influenciado por el malware bancario, DoubleLocker consta de dos etapas:

Lukas Stefanko, investigador de malware de ESET, fue el responsable de detectar DoubleLocker, y afirma que ha sido puesto a prueba desde mayo de 2017.

La distribución de DoubleLocker se da de la misma forma que su matriz bancaria. Se distribuye principalmente con un Adobe Flash Player falso a través de sitios web comprometidos. Una vez lanzado, la app solicita la activación del servicio de accesibilidad del malware, denominado “Servicio Google Play”.

Una vez que el malware obtiene los permisos de accesibilidad, los utiliza para activar los derechos de administrador del dispositivo y configurarse como la aplicación Home predeterminada, en ambos casos sin el consentimiento del usuario. Stefanko explica, además:

“Configurarse como una app predeterminada es un truco que mejora la persistencia del DoubleLocker. Cada vez que el usuario hace clic en el botón de inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias a la utilización del servicio de accesibilidad, el usuario no sabe que al activar Home activa el malware”.

Una vez ejecutado en el dispositivo, DoubleLocker crea dos razones para que las víctimas paguen.

En primer lugar, cambia el PIN del dispositivo. El nuevo PIN está configurado a un valor aleatorio que los hackers no almacenan ni envían a ningún lugar, por lo que es imposible que el usuario o un experto en seguridad lo recupere.

Luego de pagar el rescate, el hacker puede restablecer de forma remota el PIN y desbloquear el dispositivo.

En segundo lugar, DoubleLocker cifra todos los archivos del directorio de almacenamiento principal del dispositivo. Utiliza el algoritmo de encriptación AES, añadiendo la extensión cyeye.

El cifrado se implementa correctamente, lo que significa que, no hay forma de recuperar los archivos sin recibir la clave de cifrado de los hackers.

El rescate se ha fijado en 0,0130 BTC (aproximadamente US$ 54) y el mensaje dice que debe pagarse en un plazo de 24 horas. Sin embargo, si el rescate no se paga, los datos permanecerán encriptados y no se borrarán.

La única opción viable descrita por Stefanko es a través de un reinicio de fábrica del dispositivo.

Sin embargo, para los dispositivos conectados, existe una forma de superar el bloque de PIN sin necesidad de reiniciar el equipo de fábrica.

Para que el método funcione, el dispositivo debe estar en modo de depuración antes de que se active el ransomware.

Para que el usuario puede conectarse al dispositivo mediante ADB y eliminar el archivo del sistema donde Android almacena el PIN; necesitas realizar estos pasos:

  • Esta operación desbloquea la pantalla para que el usuario pueda acceder al dispositivo.
  • Luego, trabajando en modo seguro, el usuario puede desactivar los derechos de administrador del dispositivo para el malware y desinstalarlo.
  • En algunos casos, es necesario reiniciar el dispositivo.