Doublelocker Ransomware Android Nuevo

Detectado por la compañía de seguridad informática ESET, ‘Android/DoubleLocker. A’ se basa en los fundamentos de un troyano bancario regular que utiliza los servicios de accesibilidad del sistema Android. Sin embargo, DoubleLocker recolecta las credenciales bancarias de los usuarios o elimina sus cuentas, sino que se encarga de extorsionarlos mediante dos poderosas herramientas.

DoubleLocker puede cambiar el PIN del dispositivo, evitando que el usuario pueda tener acceso a él, además de encriptar los datos que encuentra. Esta combinación de acciones anteriormente no se había visto en el ecosistema Android. Debido a que está influenciado por el malware bancario, DoubleLocker consta de dos etapas:

  1. Extrae los fondos de tu cuenta bancaria o de PayPal.
  2. Bloquea tu dispositivo y tus datos para solicitar un rescate.

Lukas Stefanko, investigador de malware de ESET, fue el responsable de detectar DoubleLocker, y afirma que ha sido puesto a prueba desde mayo de 2017.

¿Cómo de distribuye DoubleLocker?

La distribución de DoubleLocker se da de la misma forma que su matriz bancaria. Se distribuye principalmente como un reproductor de Adobe Flash falso a través de sitios web comprometidos. Una vez lanzado, la app solicita la activación del servicio de accesibilidad del malware, denominado “Google Play Services”.

Una vez que el malware obtiene los permisos de accesibilidad, los utiliza para activar los derechos de administrador del dispositivo y configurarse como la aplicación Home predeterminada, en ambos casos sin el consentimiento del usuario. Stefanko explica además:

“Configurarse como una app predeterminada es un truco que mejora la persistencia del DoubleLocker. Cada vez que el usuario hace clic en el botón de inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias a la utilización del servicio de accesibilidad, el usuario no sabe que al activar Home activa el malware”.

Bloqueo del dispositivo y de sus datos

Una vez ejecutado en el dispositivo, DoubleLocker crea dos razones para que las víctimas paguen. En primer lugar, cambia el PIN del dispositivo. El nuevo PIN está configurado a un valor aleatorio que los hackers no almacenan ni envían a ningún lugar, por lo que es imposible que el usuario o un experto en seguridad lo recupere. Luego de pagar el rescate, el hacker puede restablecer de forma remota el PIN y desbloquear el dispositivo.

Dark Tequila, el malware que roba credenciales bancarias de usuarios en México

En segundo lugar, DoubleLocker cifra todos los archivos del directorio de almacenamiento principal del dispositivo. Utiliza el algoritmo de encriptación AES, añadiendo la extensión cyeye. El cifrado se implementa correctamente, lo que significa que, no hay forma de recuperar los archivos sin recibir la clave de cifrado de los hackers.

El rescate se ha fijado en 0,0130 BTC (aproximadamente US$ 54) y el mensaje dice que debe pagarse en un plazo de 24 horas. Sin embargo, si el rescate no se paga, los datos permanecerán encriptados y no se borrarán.

¿Cómo me protejo del ataque?

La única opción viable descrita por Stefanko es a través de un reinicio de fábrica del dispositivo. Sin embargo, para los dispositivos conectados, existe una forma de superar el bloque de PIN sin necesidad de reiniciar el equipo de fábrica. Para que el método funcione, el dispositivo debe estar en modo de depuración antes de que se active el ransomware.

Si se cumple esta condición, el usuario puede conectarse al dispositivo mediante ADB y eliminar el archivo del sistema donde Android almacena el PIN. Esta operación desbloquea la pantalla para que el usuario pueda acceder al dispositivo. Luego, trabajando en modo seguro, el usuario puede desactivar los derechos de administrador del dispositivo para el malware y desinstalarlo. En algunos casos, es necesario reiniciar el dispositivo.

Más en TekCrispy