15 oct 2017

DoubleLocker: malware que cifra archivos y cambia el Pin en Android

DoubleLocker es un ransomware para Android que no solo cifra nuestros archivos personales del terminal, sino que además cambia el código de acceso al mismo para que no podamos solucionarlo por nuestra cuenta. Su nombre ya lo dice todo, ya que este nuevo malware lleva a cabo ambas tareas maliciosas con el fin de que el usuario tenga aún más complicado poner medios para evadir el ataque (video).

Este es un ransomware descubierto por investigadores de seguridad de la empresa ESET y se trata del primer software de rescate que abusa de la función de accesibilidad de Android, por lo que implementa formas alternativas de interactuar con un dispositivo móvil. Estos servicios de accesibilidad son objeto de abuso por parte de otros tipos de ataques maliciosos como troyanos bancarios o adware, pero nunca se había visto algo como DoubleLocker.

Tiene sus raíces en un malware bancario y cabe mencionar que los ciberdelincuentes comenzaron a difundir este código malicioso como parte de una actualización falsa de Adobe Flash a través de sitios web y aplicaciones comprometidas.

Una vez que la víctima ha lanzado la herramienta, esta solicita la activación del servicio de accesibilidad y una vez que el código malicioso ha obtenido estos permisos, los utiliza para activar los derechos de administrador del terminal y configurarse como la aplicación Home sin el consentimiento del usuario.

De este modo cada vez que el usuario hace clic en el botón de inicio, el ransomware se activa y el dispositivo se bloquea de nuevo, por lo que gracias a la utilización del servicio de accesibilidad, el usuario no sabe que lo lanza malware pulsando el mencionado botón Home. Lo primero que hace DoubleLocker es cambiar el PIN de acceso a un valor aleatorio que ni los estafadores conocen ni almacenan en ningún sitio. Al mismo tiempo, se cifran todos los archivos usando el algoritmo de encriptación AES para cada archivo.

Por el momento el proceso de cifrado no tiene errores, lo que hace imposible recuperar los archivos sin recibir la clave de cifrado de los delincuentes, que es de unos 75 dólares, pago que debe ser completado en menos de 24 horas. Por lo tanto y como siempre, la mejor manera de proteger nuestro dispositivo es instalar aplicaciones solo desde tiendas de confianza como la Google Play y prestar atención a la «reputación» de los desarrolladores.

Fuente: SecurityAffairs

Suscríbete a nuestro Boletín

2 comentarios:

  1. No soy experto en Android pero por mucho que te den la clave de descifrado, si te cambia aleatoriamente el PIN, ¿cómo se accede a los archivos?

    ResponderBorrar
  2. No dudo que falte mucho para que este tipo de ataques llegue a los iOS desactualizados.

    Y como funciona normalmente en los equipos de escritorio, una vez que hacen el pago no se garantiza la recuperación del equipo o información.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!