ESETの専門家は、Android Accessibility Serviceを使用した最初の暗号化装置であるAndroid / DoubleLockerを発見しました。 Malvarはデータを暗号化するだけでなく、デバイスをブロックします。
DoubleLockerは、Android OSのアクセシビリティサービスを使用する銀行の
トロイの木馬に基づいて構築されています。 ただし、DoubleLockerにはユーザーバンクデータの収集とアカウントの削除に関連する機能はありませんが、代わりに恐exのためのツールを提供します。
DoubleLockerは、デバイスのPINコードを変更して、被害者のアクセスをブロックし、見つかったデータを暗号化することができます-Androidエコシステムでこのような機能の組み合わせを目にしたのは初めてです。
バンキングマリバリからの下降を考えると、DoubleLockerはランサムウェアバンカーと呼ばれるものに変えることができます。 悪意のあるプログラムは2段階で動作します。銀行またはPayPalアカウントを削除しようとし、デバイスとデータをブロックして身代金を要求します。 2017年5月に、このような野生のランサムウェアバンカーのテストバージョンが見つかりました。
配布
DoubleLockerは、その祖先バンカーのように非常に単純な方法で配布されます-主に、侵害されたサイトを介して偽のAdobe Flash Playerを装って。
起動すると、アプリケーションはGoogle Play Serviceと呼ばれる悪意のあるアクセシビリティサービスをアクティブにすることを提案します。 マルウェアは必要な許可を受け取ると、それらを使用してデバイスの管理者権限を有効にし、それ自体をデフォルトのランチャーとして設定します-すべてユーザーの同意なしに。
デフォルトのランチャーとしての自己インストールは、マルウェアの持続性を高めます。 ユーザーが[ホーム]ボタンを押すたびに、ランサムウェアがアクティブになり、デバイスが再びロックされます。
デバイスロックとデータ暗号化
デバイスで実行されると、DoubleLockerは2つの適切な引数を使用して、ユーザーに身代金の支払いを強制します。
まず、タブレットまたはスマートフォンのPINコードが変更され、デバイスが使用できなくなります。 新しいPINとして、ランダムな値が設定され、コードがデバイスに保存されず、外部に送信されないため、ユーザーまたはセキュリティスペシャリストはそれを復元できません。 しかし、身代金を受け取った後、攻撃者はPINをリモートでリセットし、デバイスのロックを解除できます。
次に、DoubleLockerはデバイスのプライマリストレージ内のすべてのファイルを暗号化します。 AES暗号化アルゴリズムを使用し、
.cryeye拡張子を追加します。
図1. DoubleLockerに感染したデバイス上の暗号化されたファイル買戻し金額は0.0130ビットコイン(約4000ルーブル)です。メッセージは、24時間以内に支払いを行う必要があることを強調しています。 身代金がリストにない場合、データは暗号化されたままですが、削除されません。
図2. DoubleLockerの買い戻し要件DoubleLockerを取り除く方法は?
ユーザーの買い戻しメッセージは、DoubleLockerのアンインストールまたはブロックの結果について警告します。「ソフトウェアがなければ、ソースファイルを返すことはできません。」 「ソフトウェア」の不要な削除を防ぐために、詐欺師はアンチウイルスソフトウェアを無効にすることを推奨しています。
DoubleLockerを削除するには、次の措置を取ることをお勧めします。
- PINコードをリセットできるモバイルデバイスを管理するソリューションを持たない非ルートデバイス:ロック画面を取り除く唯一の方法は、工場出荷時の設定にリセットすることです。
- ルーティングされたデバイス:ユーザーはADBを介してデバイスに接続し、PINコードが保存されているファイルを削除できます。 これを行うには、デバイスのデバッグを有効にします(設定-開発者オプション-USBデバッグ)。 ロック画面が削除され、ユーザーはデバイスへのアクセスを返します。 その後、セーフモードで作業すると、ユーザーはマルウェアに対するデバイスの管理者権限を無効にし、削除できます。 場合によっては、再起動が必要です。
防止のため、高品質のセキュリティ製品でAndroidデバイスを保護し、定期的なバックアップを作成することをお勧めします。
ESET製品は、Android / DoubleLockerなどの新しいマルウェアを検出します。