Gli utenti mobili attenzione, il ransomware DoubleLocker Android in grado di crittografare i dispositivi vittima e cambiare i codici PIN associati. Al momento un'onda attacco globale si rivolge agli utenti mobili utilizzando diverse tattiche di consegna.
DoubleLocker Android ransomware rilevato
I ricercatori delle principali società anti-virus hanno riferito che una nuova minaccia è stata fatta per colpire i dispositivi Android. Gli hacker hanno reso il ransomware DoubleLocker Android che è specificamente rivolto a compromettere i dispositivi vittima, cifrare l'archiviazione con una forte crittografia e cambiando i codici di sicurezza PIN.
La via di infezione sembra essere falso istanze di applicazioni Adobe Flash che chiedono gli obiettivi per consentire un “Google Play Services” esempio. Questo è un tipico caso di un trucco di social engineering come Adobe Flash fa parte non è più del sistema Android di base. Le notifiche possono essere creati da uno dei seguenti modi:
- Counterfeit Apps - Gli hacker possono creare applicazioni false che possono essere facilmente caricati sul Google Play Store ufficiale repository o altre fonti.
- Siti web e reindirizzamenti - Il codice maligno in siti o reindirizzamenti possono innescare l'infezione di hacker-creato.
L'attuale ondata attacco si basa principalmente su questi due metodi, in futuro potremmo vedere altre strategie di consegna stato impiegato.
Funzionalità DoubleLocker Android ransomware
Una delle prime azioni che il virus invoca è lo sfruttamento dei permessi, un processo che è fatto tramite le opzioni di accessibilità. Si tratta di una serie di funzionalità integrate nel sistema operativo Android thhe che sono fatti per le persone con disabilità. Quando l'hacker ha accesso a questo sottosistema possono recuperare il contenuto da applicazioni in esecuzione e attivare funzionalità web avanzate. Questo viene utilizzato per installare gli script di malware e spiare le attività del bersaglio.
Di conseguenza, il ransomware DoubleLocker Android è in grado di spiare gli utenti vittima in tempo reale e rubare i loro file. Il malware è installato come applicazione iniziale predefinita che significa che una volta che il dispositivo viene attivato nota riscatto verrà mostrato a loro. Allo stesso tempo, il ransomware inizia per crittografare tutti i file trovati utilizzando l'avanzato algoritmo AES. Lo stesso meccanismo delle varianti del desktop vengono utilizzati, tutti i file compromessi vengono rinominati con il .estensione cryeye.
Durante la fase di infezione il codice PIN viene cambiato in un valore casuale che impedisce ai proprietari di recuperare i loro dispositivi. Al momento non esiste un modo efficace per recuperare gli utenti senza ripristinare un backup. Alcuni dispositivi radicate possono essere ripristinare se sono stati collocati in modalità debug prima dell'installazione ransomware.
Il segno dell'infezione ransomware DoubleLocker Android è la sua nota in cui si legge il seguente:
informazioni sullo stato attuale
I vostri documenti personali e file su questi dispositivi sono stati appena criptato. I file originali sono stati cancellati e saranno recuperati solo seguendo la procedura descritta di seguito. La crittografia è stato fatto con una chiave univoca di crittografia generata (utilizzando AES-256)
I campioni catturati ricattano le vittime per un costo di 0.0130 Bitcoin che è l'equivalente di circa $73. Come sempre si raccomanda che gli utenti non pagano gli hacker, ma tentano di recuperare i loro dati da un file di backup generato.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: