Die DoubleLocker-Ransomware nutzt Techniken, die zuvor von Trojanern verwendet wurden, um die vollständige Kontrolle über das Gerät zu erlangen und es vollständig zu sperren.
Eine neue Form von Android-Ransomware verschlüsselt die Daten der Opfer Und ändert ihre PIN, wodurch es fast unmöglich wird, ihre Dateien zurückzubekommen, ohne ein Lösegeld zu zahlen.
Von DoubleLocker genannt Forscher bei ESET, die es entdeckt haben Dadurch wird die Ransomware als gefälschtes Adobe Flash-Update über kompromittierte Websites verbreitet.
Nach dem Herunterladen auf das Gerät fragt die gefälschte Adobe Flash-App nach der Aktivierung der „Google Play Services“, indem sie a ausnutzt Reihe von Berechtigungen über Barrierefreiheitsdienste, eine Funktion, die Menschen mit Behinderungen bei der Nutzung ihrer Dienste unterstützen soll Telefon.
Dazu gehören das Abrufen von Fensterinhalten, das Aktivieren einer verbesserten Web-Zugänglichkeit zum Installieren von Skripten und das Beobachten von eingegebenem Text. Die gleiche Technik des Missbrauchs von Barrierefreiheitsdiensten gilt
wurde zuvor von datenstehlenden Android-Trojanern ausgenutzt, aber dies ist das erste Mal, dass es in Ransomware gesehen wurde.Sobald DoubleLocker die entsprechenden Berechtigungen erhält, installiert er die Ransomware als Standard-Home-Anwendung. Das bedeutet, dass der Benutzer beim nächsten Besuch seines Home-Bildschirms mit einer Lösegeldforderung konfrontiert wird.
„Sich selbst als Standard-Home-App – einen Launcher – festzulegen, ist ein Trick, der die Persistenz der Malware verbessert. Immer wenn der Benutzer auf die Home-Schaltfläche klickt, wird die Ransomware aktiviert und das Gerät wieder gesperrt. Dank der Nutzung des Barrierefreiheitsdienstes weiß der Benutzer nicht, dass er Malware gestartet hat, indem er auf die Startseite geklickt hat“, sagt Lukáš Štefanko, Malware-Forscher bei ESET.
DoubleLocker-Ransomware-Hinweis.
DoubleLocker sperrt das Gerät auf zwei Arten. Erstens verschlüsselt sie, wie andere Formen von Ransomware, die Dateien auf dem Gerät, in diesem Fall unter Verwendung des AES-Verschlüsselungsalgorithmus mit der Erweiterung „cryeye“. Unglücklicherweise für die Opfer wird die Verschlüsselung effektiv angewendet, sodass es derzeit keine Möglichkeit gibt, die Dateien ohne den Schlüssel abzurufen.
Zweitens ändert die Ransomware die PIN des Geräts und blockiert so effektiv die Nutzung des Geräts durch das Opfer. Die PIN wird auf eine Zufallszahl gesetzt, die der Angreifer nicht selbst speichert, sodass es unmöglich ist, den Zugriff auf das Gerät wiederherzustellen. Die Angreifer setzen die PIN aus der Ferne zurück, wenn das Gerät nach Zahlung des Lösegelds entsperrt wird.
Als Gegenleistung für das Entsperren des Geräts verlangen die Angreifer ein Lösegeld von 0,0130 Bitcoins – zum Zeitpunkt des Verfassens dieses Artikels aufgrund der hohen Bewertung der Währung etwa 73 US-Dollar.
Siehe auch: Ransomware: Ein Leitfaden für Führungskräfte zu einer der größten Bedrohungen im Internet
Während diese Zahl ist gering im Vergleich zu anderen Formen von Ransomware, ist es wahrscheinlich, dass die Cyberkriminellen, die hinter dem Plan stehen, glauben, dass die Opfer eher einen geringeren Betrag zahlen würden, um wieder Zugriff auf ihr Telefon oder Tablet zu erhalten.
Die Angreifer setzen eine Frist von 24 Stunden für die Zahlung des Lösegelds und behaupten: „Ohne [die Software] werden Sie niemals in der Lage sein, Ihre Originaldateien zurückzubekommen.“
Für die meisten gibt es nur eine Möglichkeit, das Gerät von DoubleLocker zu befreien, ohne das Lösegeld zu zahlen – und das ist ein Zurücksetzen auf die Werkseinstellungen, was dazu führt, dass alle nicht gesicherten Daten verloren gehen.
Es besteht eine geringe Chance, dass die gerooteten Android-Telefone die PIN-Sperre überwinden können, ohne zurückgesetzt zu werden, und das nur, wenn sich das Gerät vor der Installation der Ransomware im Debugging-Modus befand. In diesem Fall kann der Benutzer die Systemdatei, in der die PIN gespeichert ist, entfernen und so das Gerät manuell zurücksetzen.
Der beste Weg für Android-Benutzer, nicht Opfer von Ransomware oder anderer Malware zu werden, besteht darin, keine Anwendungen oder Software von Websites Dritter zu installieren.
Allerdings ist Googles eigener Play Store nicht kugelsicher – der Der offizielle Markt hält die überwiegende Mehrheit der bösartigen Apps fern, aber einige schlüpfen immer noch durch das Netz.
LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT
- Kann Google seinen Kampf gegen Android-Malware gewinnen?
- Diese Android-Malware, die Bankdaten stiehlt, ist zurück – und jetzt noch raffinierter
- Dies ist der einfachste Weg, Malware auf Ihrem Android-Gerät zu verhindern [CNET]
- Android-Malware hat die Sicherheit des Google Play Stores umgangen und könnte 4,2 Millionen Geräte infiziert habens [TechRepublic]
- Diese Android-Ransomware droht, Ihren Browserverlauf allen Ihren Kontakten zugänglich zu machen