Os usuários móveis cuidado, o ransomware DoubleLocker Android pode criptografar dispositivos vítima e alterar os códigos PIN associados. No momento em que uma onda de ataque mundial é direcionada aos usuários móveis usando diferentes táticas de entrega.
DoubleLocker Ransomware Android Detectado
Pesquisadores das principais empresas de antivírus informou que uma nova ameaça foi feita para atingir dispositivos Android. Hackers fizeram o ransomware DoubleLocker Android que é especificamente destinado a comprometer os dispositivos vítima, criptografar o armazenamento com uma cifra forte e alterar os códigos de segurança PIN.
A via de infecção parece ser falsos instâncias do aplicativo Adobe Flash que pedem as metas para permitir uma “O Google Play Services” instância. Este é um caso típico de um truque de engenharia social como Adobe Flash não é mais parte do núcleo do sistema Android. As notificações podem ser criadas por uma das seguintes formas:
- falsificados Apps - Os hackers podem criar aplicativos falsos que podem ser facilmente enviados para o repositório Google Play Store oficial ou outras fontes.
- Sites e redireciona - códigos maliciosos em sites criados pelo hacker ou redirecionamentos podem desencadear a infecção.
A onda de ataque actual baseia-se principalmente sobre os dois métodos, no futuro poderemos ver outras estratégias de entrega sendo empregado.
Capacidades DoubleLocker ransomware Android
Uma das primeiras ações que o invoca vírus é a exploração de permissões, um processo que é feito através das opções de acessibilidade. Esta é uma série de recursos integrados ao sistema operacional Android, feitos para pessoas com deficiência. Quando o hacker tem acesso a este subsistema, ele pode recuperar o conteúdo dos aplicativos em execução e ativar recursos da web aprimorados. Isso é usado para instalar scripts de malware e espionar as atividades do alvo.
Como resultado, o DoubleLocker Android ransomware é capaz de espionar os usuários vítimas em tempo real e roubar seus arquivos. O malware também é instalado como o aplicativo doméstico padrão, o que significa que assim que o dispositivo for ativado, a nota de resgate será mostrada a eles. Ao mesmo tempo, o ransomware começa a criptografar todos os arquivos encontrados usando a cifra AES avançada. O mesmo mecanismo que as variantes de desktop são usados, todos os arquivos comprometidos são renomeados usando o .extensão cryeye.
Durante a fase de infecção, o código PIN também é alterado para um valor aleatório que evita que os proprietários recuperem seus dispositivos. No momento, não há uma maneira eficaz de recuperar os usuários sem restaurar para um backup. Alguns dispositivos com acesso root podem ser restaurados se forem colocados no modo de depuração antes da instalação do ransomware.
O sinal da infecção do ransomware DoubleLocker Android é sua nota, que diz o seguinte:
Informação do estado atual
Seus documentos e arquivos pessoais nestes dispositivos acabaram de ser criptografados. Os arquivos originais foram excluídos e só serão recuperados seguindo as etapas descritas abaixo. A criptografia foi feita com uma chave de criptografia gerada única (usando AES-256)
As amostras capturadas chantageiam as vítimas por uma taxa de 0.0130 Bitcoins, que é o equivalente a cerca de $73. Como sempre, recomendamos que os usuários não paguem aos hackers, mas tentem recuperar seus dados de um arquivo de backup gerado.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: