La compañía de seguridad ESET descubrió la existencia del ransomware DoubleLocker el cual infecta el sistema operativo Android cifrando nuestra información y bloqueando los dispositivos móviles.
DoubleLocker está basado en el código de un troyano bancario que utiliza los servicios de accesibilidad del sistema operativo móvil de Google añadiéndole dos herramientas que le permiten extorsionar a las víctimas en busca de dinero.
Primero, cambia el PIN del equipo, de manera que la víctima no puede usarlo. El nuevo código PIN se establece en base a un valor aleatorio, que no se almacena en el dispositivo ni se envía a otro lado, por lo que es imposible que el usuario o un experto en seguridad lo recupere. Luego de que se hace el pago, el atacante puede restablecer el PIN remotamente y desbloquear el dispositivo. Segundo, DoubleLocker cifra todos los archivos del directorio principal de almacenamiento. El monto del rescate solicitado es de aproximadamente 54 dólares y el mensaje remarca que se debe pagar en el transcurso de 24 horas. Esta es una combinación que no se ha visto hasta ahora en Android.
DoubleLocker bien podría convertirse en lo que podemos llamar ransom-bankers. Es un malware que funciona en dos etapas. Primero trata de vaciar tu cuenta bancaria o de PayPal y luego bloquea tu dispositivo e información para solicitar el pago del rescate. Dejando las especulaciones de lado, la primera vez que vimos una versión de prueba de un ransom-banker de este tipo in the wild fue en mayo de 2017″, comentó Lukáš Štefanko, investigador de malware que lo descubrió.
DoubleLocker se propaga exactamente igual que aquel troyano en el que está basado. Se distribuye generalmente a través de una versión falsa de Adobe Flash Player.
Una vez ejecutada, la aplicación solicita la activación del servicio de accesibilidad del malware, llamado «Google Play Service» para engañar a los usuarios, que podrían creer que se trata de un servicio legítimo de Google. Luego de que el malware obtiene los permisos de accesibilidad, los usa para activar los derechos de administrador del dispositivo y se establece a sí mismo como aplicación de Inicio por defecto, en ambos casos sin el consentimiento del usuario.
«Establecerse a sí mismo como una aplicación de Inicio por defecto (un launcher) es un truco que mejora la persistencia del malware. Cada vez que el usuario hace clic en el botón Inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias al uso del servicio de accesibilidad, el usuario no sabe que ejecuta malware pulsando Inicio», explicó Lukáš Štefanko.
La Cura
Si el dispositivo no está rooteado y no tiene ninguna solución de administración de dispositivos móviles capaz de restablecer el PIN, la única manera de eliminar el bloqueo de pantalla es a través de una restauración a los valores de fábrica (factory reset). En cambio, si el dispositivo está rooteado, el usuario puede conectarse a él a través de Android Debug Bridge (ADB) y eliminar el archivo en el que se almacenó el PIN.
Así, se eliminará el PIN o contraseña de bloqueo de pantalla y el usuario podrá acceder al dispositivo. Luego, operando en modo seguro, puede desactivar los derechos de administrador del malware y desinstalarlo. En algunos casos, se necesita reiniciar el equipo.