DoubleLocker: il nuovo malware Android che sfrutta il tasto Home per infettare i dispositivi

I ricercatori di ESET hanno scoperto DoubleLocker, un innovativo malware per Android che combina un astuto meccanismo di infezione con due potenti strumenti per estorcere denaro alle proprie vittime.

Distribuito principalmente come aggiornamento fake di Adobe Flash Player tramite siti compromessi, DoubleLocker sfrutta in modo improprio i servizi di accessibilità di Android, un classico stratagemma usato dai criminali informatici.

DoubleLocker: come agisce e cos’è

doublelocker

Il suo payload di infezione è in grado di cambiare il PIN del dispositivo, per evitare che la vittima possa accedere al proprio dispositivo e contemporaneamente codifica i dati della vittima: una tale combinazione non era mai stata vista prima nell’ecosistema Android.

Una volta avviata, l’applicazione richiede l’attivazione del “Servizio di Google Play”. Dopo aver acquisito le autorizzazioni di accesso, il malware le utilizza per attivare i diritti di amministratore del dispositivo e si imposta come applicazione Home predefinita, in entrambi i casi senza il consenso dell’utente.

Oltre a essere un ransomware, il DoubleLocker si basa anche su un particolare Trojan bancario già analizzato dai ricercatori di ESET, secondo i quali la funzionalità che consentirebbe a questo malware di sottrarre le credenziali bancarie dai sistemi delle vittime potrebbe essere aggiunta molto facilmente.  Questa funzionalità aggiuntiva trasformerebbe DoubleLocker in quello che i ricercatori di ESET definiscono come un “ransom-banker”, già identificato in una versione di test in the wild a Maggio 2017.

I ricercatori di ESET ricordano l’importanza di utilizzare una valida soluzione di sicurezza per proteggere i dispositivi mobile, che impediscono il contagio da DoubleLocker e da altri tipi di malware.

Come rimuoverlo?

Nella nota del riscatto si avvisa l’utente su quello che accadrebbe rimuovendo o bloccando le attività del DoubleLocker: “Senza [il software], non potrai più riavere i tuoi file originali”. Per evitare rimozioni involontarie del “software”, i truffatori arrivano persino a raccomandare di disabilitare il software antivirus dell’utente.

“Tali consigli sono irrilevanti: tutti quelli che utilizzano una soluzione di sicurezza valida suli proprio dispositivo sono protetti contro il DoubleLocker,” commenta Lukáš Štefanko, ricercatore di Malware.

Per gli utenti che vogliono rimuovere il ransomware DoubleLocker dai propri dispositivi, Lukáš Štefanko raccomanda di seguire quanto riportato:

Per i dispositivi senza root e che non hanno una soluzione di gestione del dispositivo mobile installata capace di resettare il PIN, la sola possibilità per rimuovere il PIN dalla schermata di blocco è ripristinare le impostazioni di fabbrica del dispositivo.

Per i dispositivi con il root allora l’utente si può connettere attraverso ADB e rimuovere il file dove viene salvato il PIN. Per poter effettuare questa attività sul dispositivo dovrà risultare abilitata la modalità di debug USB (Impostazioni -> Opzioni sviluppatore -> Debug USB).

Il PIN o la schermata di blocco con password verrà rimossa e l’utente potrà accedere al dispositivo. Successivamente, lavorando in modalità provvisoria, l’utente potrà privare il malware dei diritti di amministratore e disinstallarlo. In alcuni casi sarà necessario riavviare il dispositivo.

“DoubleLocker ribadisce agli utenti la necessità di avere una soluzione di sicurezza installata e di effettuare periodicamente il backup dei propri dati” conclude Lukáš Štefanko.

Potrebbero anche interessarti:

3 thoughts on “DoubleLocker: il nuovo malware Android che sfrutta il tasto Home per infettare i dispositivi

Lascia un commento

Your email address will not be published. Required fields are marked with *.