DoubleLocker, il ransomware per Android diventa creativo

ESET ha scovato una nuova minaccia per Android particolarmente sofisticata, un malware che cripta i file dell'utente (e li cripta per davvero) garantendosi il pieno controllo del dispositivo in maniera piuttosto "originale"

Roma – La security enterprise ESET ha svelato l’ esistenza di DoubleLocker , nuovo ransomware per Android che risulta particolarmente pericoloso per i dati degli utenti. Diversamente dal solito, infatti, DoubleLocker procede realmente alla codifica dei file chiedendo poi un riscatto in Bitcoin . E purtroppo non si tratta dell’unica caratteristica di “eccellenza” di una minaccia che sfrutta il codice di una vecchia conoscenza degli analisti di malware per Android.

Alla base del funzionamento di DoubleLocker c’è l’ abuso dei servizi di accessibilità dell’OS mobile di Google, un vettore di attacco già noto che però il ransomware sfrutta in maniera molto efficace: l’infezione si diffonde attraverso la distribuzione di un presunto aggiornamento per Flash Player , e una volta raggiunto il dispositivo bersaglio il malware chiede all’utente il permesso di accedere ai servizi di accessibilità.

Da qui, DoubleLocker è in grado di simulare l’interazione dell’utente con lo schermo touch e di sfruttare questa caratteristica per accedere di nuovo alle impostazioni e garantirsi i privilegi di accesso come amministratore .


DoubleLocker si imposta poi come app launcher predefinito, così che ogni pressione del tasto Home da parte dell’utente porta inevitabilmente alla riattivazione del ransomware . Alla fine, il codice malevolo modifica il PIN del dispositivo con un codice casuale e cripta i file sfruttando l’ algoritmo AES .

Il “riscatto” richiesto dall’ignoto cyber-criminale è 0,013 Bitcoin (circa 70 dollari), somma che dovrebbe invogliare l’autore ad agire da remoto per rimuovere il PIN e sbloccare il dispositivo. Al momento non esistono metodi manuali per la decodifica dei file criptati, avvertono i ricercatori, e l’unica alternativa al pagamento della somma richiesta consiste nel reset di fabbrica del dispositivo .

Il codice di DoubleLocker richiama almeno in parte quello di Svpeng , trojan bancario noto per la sua capacità di eseguire operazioni mai tentate in precedenza come il furto di denaro dai conti tramite SMS, l’uso di schermate di login fasulle e la modifica del PIN con la successiva richiesta di riscatto (appunto in stile da ransomware) per lo sblocco.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • uhmmm scrive:
    un suono continuo da 130Hz
    Dal repo:"hdd-killer: python script that emits a sound sweep to find the resonant frequency that interferes with the specified HDD." FACCIAMOCI UNA CANZONE! (rotfl)
    • risatissima scrive:
      Re: un suono continuo da 130Hz
      bella battuta complimenti[img]http://78.media.tumblr.com/1924d4e90db42aed7827d0ef5b94c8ae/tumblr_inline_nl9t74eFO11tnfx1q.gif[/img]
    • bubba scrive:
      Re: un suono continuo da 130Hz
      - Scritto da: uhmmm
      Dal repo:
      "hdd-killer: python script that emits a sound
      sweep to find the resonant frequency that
      interferes with the specified
      HDD."

      FACCIAMOCI UNA CANZONE! (rotfl)meglio ancora... un ads sonoro da mandare via trafficjunk ( l'ad company usata da pornhub e affini)... sai che bomba :D
Chiudi i commenti