DoubleLocker: el ransomware que ataca dispositivos Android

By / 23 octubre, 2017 / Tendencias

Se trata del primer ransomware dirigido a atacar los servicios de accesibilidad de Android. Cuando un dispositivo es víctima se encriptan los datos y se bloque el dispositivo hasta el pago de un rescate.

Se le conoce como ‘DoubleLocker’ y está basado en el código de un troyano bancario utilizado con fines maliciosos para aprovechar los servicios de accesibilidad del sistema operativo de Google.

‘Double Locker’ cambia las claves del dispositivo evitando que el usuario acceda al mismo. Al mismo tiempo, cifra la información que se encuentra en su interior. Los expertos del ESET, el equipo detrás del hallazgo de este ransomware, resaltaron que es la primera vez que se observa esta combinación en Android.

De hecho, a pesar de estar basado en un troyano bancario, este ransomware carece de funciones relacionadas con el robo de claves bancarias o vaciado de cuentas. En cambio, posee estas dos fuertes funciones para extorsionar a sus víctimas.

El ‘Double Locker’ se distribuye como muchos troyanos, generalmente a través de versiones falsas de Adobe Flash Player que se filtran en varios sitios web.

Así es como el Double Locker toma el control de su dispositivo

#DoubleLocker – The First Ever Ransomware Misusing Android Accessiblity Services Demo

ESET researchers have discovered DoubleLocker, an innovative Android malware that combines a cunning infection mechanism with two powerful tools for extorting money from its victims. “DoubleLocker misuses Android accessibility services, which is a popular trick among cybercriminals. Its payload can change the device’s PIN, preventing the victim from accessing their device and encrypts the victim’s data.

Una vez se instala la versión maliciosa de Adobe Flash Player esta solícita la activación de los servicios de accesibilidad del ransomware bajo el nombre de “Google Play Service”. Esto logra confundir a muchos usuarios que piensan que se trata de un servicio oficial de Google.

Es en este punto, donde los usuarios le han dado los permisos de accesibilidad donde el ransomware toma el control del dispositivo Android. La aplicación toma estos permisos para acceder libremente a los perfiles de administrador y establecer como la aplicación de inicio por defecto.

Lee también: Virus “Wanna Cry”: qué es y qué hacer si llega a afectarlos.

Con esto, no importa que tanto se reinicie el dispositivo, la primera aplicación que inicie será la que activa el malware. El rescate que piden los ciberdelicuentes ronda 54 dólares (0,0130 bitcoins) que no le aconsejamos pagar.

¿Cómo librarse del DoubleLoucker?

El ‘DoubleLocker’ modifica el PIN de acceso del usuario. El nuevo se establece de forma aleatoria y no se almacena en el dispositivo, lo que hace imposible acceder a él. Los archivos del sistema se encriptan añadiéndoles la extensión “.cryye”.

Si el usuario no paga el monto en 24 horas, los datos permanecerán encriptados, pero no se eliminarán del dispositivo.

Aquí es donde una copia de seguridad es bastante útil puesto que se puede recuperar el dispositivo restableciendo los valores de fábrica del dispositivo.

Esto cambia si este está rooteado, puesto que se debe acceder al sistema de almacenamiento para eliminar el archivo donde se almacenó el PIN usando los permisos de administrador y el UBS Debugging.

Lee también: El ‘gusano’ que borra todos los archivos del disco duro.


Los hacker están listos ¡Muy pronto #MundoHackerCO!

Uploaded by Canal Trece Colombia on 2017-10-23.

About Author

Andrés Cristancho

Back to Top