DoubleLocker, il ransomware per Android diventa creativo

ESET ha scovato una nuova minaccia per Android particolarmente sofisticata, un malware che cripta i file dell'utente (e li cripta per davvero) garantendosi il pieno controllo del dispositivo in maniera piuttosto "originale"
ESET ha scovato una nuova minaccia per Android particolarmente sofisticata, un malware che cripta i file dell'utente (e li cripta per davvero) garantendosi il pieno controllo del dispositivo in maniera piuttosto "originale"

La security enterprise ESET ha svelato l’ esistenza di DoubleLocker , nuovo ransomware per Android che risulta particolarmente pericoloso per i dati degli utenti. Diversamente dal solito, infatti, DoubleLocker procede realmente alla codifica dei file chiedendo poi un riscatto in Bitcoin . E purtroppo non si tratta dell’unica caratteristica di “eccellenza” di una minaccia che sfrutta il codice di una vecchia conoscenza degli analisti di malware per Android.

Alla base del funzionamento di DoubleLocker c’è l’ abuso dei servizi di accessibilità dell’OS mobile di Google, un vettore di attacco già noto che però il ransomware sfrutta in maniera molto efficace: l’infezione si diffonde attraverso la distribuzione di un presunto aggiornamento per Flash Player , e una volta raggiunto il dispositivo bersaglio il malware chiede all’utente il permesso di accedere ai servizi di accessibilità.

Da qui, DoubleLocker è in grado di simulare l’interazione dell’utente con lo schermo touch e di sfruttare questa caratteristica per accedere di nuovo alle impostazioni e garantirsi i privilegi di accesso come amministratore .


DoubleLocker si imposta poi come app launcher predefinito, così che ogni pressione del tasto Home da parte dell’utente porta inevitabilmente alla riattivazione del ransomware . Alla fine, il codice malevolo modifica il PIN del dispositivo con un codice casuale e cripta i file sfruttando l’ algoritmo AES .

Il “riscatto” richiesto dall’ignoto cyber-criminale è 0,013 Bitcoin (circa 70 dollari), somma che dovrebbe invogliare l’autore ad agire da remoto per rimuovere il PIN e sbloccare il dispositivo. Al momento non esistono metodi manuali per la decodifica dei file criptati, avvertono i ricercatori, e l’unica alternativa al pagamento della somma richiesta consiste nel reset di fabbrica del dispositivo .

Il codice di DoubleLocker richiama almeno in parte quello di Svpeng , trojan bancario noto per la sua capacità di eseguire operazioni mai tentate in precedenza come il furto di denaro dai conti tramite SMS, l’uso di schermate di login fasulle e la modifica del PIN con la successiva richiesta di riscatto (appunto in stile da ransomware) per lo sblocco.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

16 10 2017
Link copiato negli appunti