DoubleLocker, ransomware per Android cifra i file e cambia il PIN

I ricercatori di ESET hanno comunicato di aver scoperto un ransomware per dispositivi Android estremamente pericoloso. Una volta in esecuzione sul dispositivo dell’utente il malware può cambiare il PIN del dispositivo così da impedire alle vittime di accedervi e ne codifica i dati.

Android/DoubleLocker, questo il nome della minaccia, usa una doppia combinazione di funzionalità che fino ad oggi non si era mai vista nell’ecosistema del robottino verde.

Gli esperti dei laboratori ESET hanno stabilito che DoubleLocker è stato realizzato a partire dal codice di un trojan bancario abbastanza famoso sul versante Android. Se quindi, per adesso, il malware “si limita” a bloccare l’accesso al dispositivo e ai file personali degli utenti, DoubleLocker può “cambiare pelle” molto facilmente e cominciare a sottrarre anche le credenziali per l’accesso ai conti correnti bancari online.

ESET spiega che molto spesso il malware viene diffuso via web presentandolo come un falso aggiornamento per Adobe Flash, tecnologia che sui dispositivi mobili tra l’altro non può essere sfruttata e che su desktop è ormai sul viale del tramonto: Adobe annuncia il ritiro di Flash Player entro fine 2020.
L’installazione del ransomware, quindi, parte sempre da una madornale disattenzione.

Dopo aver ottenuto i permessi di accessibilità sul dispositivo in uso, il malware li usa per attivare i diritti di amministratore e imposta se stesso come applicazione Home senza ovviamente aver raccolto alcun consenso.

“Impostarsi come app Home predefinita è uno stratagemma per migliorare la persistenza del malware. Quando viene premuto il pulsante Home, il ransomware viene attivato e blocca nuovamente il dispositivo“, ha spiegato uno dei ricercatori ESET.

DoubleLocker codifica tutti i file contenuti nella directory principale del dispositivo: per farlo utilizza l’algoritmo crittografico AES, aggiungendo al nome dei file l’estensione “.cryeye”.

Il riscatto è attualmente fissato a 0,0130 Bitcoin e il malware cerca di obbligare gli utenti a versare l’importo nel giro di 24 ore. Tuttavia, pur non pagando entro la scadenza, i dati non vengono cancellati ma restano codificati.