Tom's Hardware Italia
Sicurezza

DoubleLocker, l’evoluzione del ransomware su Android

I ricercatori di ESET hanno scoperto DoubleLocker, un nuovo ransomaware per Android che presenta un comportamento evoluto e assai sofisticato. Una sua possibile evoluzione inoltre potrà rubarci anche i soldi dal conto o da PayPal.

Si chiama DoubleLocker, è stato rilevato e segnalato dai ricercatori di ESET ed è un ransomware di nuova generazione per Android, che eleva il livello della minaccia di questo tipo di malware, portandolo su un livello ancora inedito nel mobile. In pratica oltre a bloccare lo smartphone cripta realmente i dati presenti in locale e, potenzialmente, è anche in grado di sottrarre le credenziali del nostro conto bancario o PayPal. Si tratta quindi di un malware in grado di abbinare le funzioni di un ransomware a quelle di un trojan, una vera novità, letale, nel panorama dei malware.

La distribuzione e quindi l'infezione avviene tramite siti compromessi, sotto forma di richiesta di aggiornamento per Adobe Flash Player. Quest'ultimo in realtà non è più supportato da Android da diverso tempo, ma puntando ai grandi numeri è evidente che sono tantissimi gli utenti a non conoscere questo dettaglio.

Figure2

Una volta installatosi, DoubleLocker richiede permessi aggiuntivi di accessibilità mascherandosi come Google Play Service e, se li ottiene, si imposterà autonomamente come amministratore del dispositivo e come launcher, andando poi a modificare il PIN dello smartphone. Qui risiede la prima novità, perché il nuovo PIN non viene memorizzato né inviato al server di controllo ma generato casualmente, motivo per cui è impossibile recuperarlo in alcun modo. Il ransomware provvede subito dopo a cifrare tutti i file presenti sullo smartphone, utilizzando lo standard AES, praticamente impossibile da forzare. Una combinazione che, secondo i ricercatori ESET, non era mai stata utilizzata prima su Android.

Per sbloccarlo sarà necessario pagare entro 24 ore 0,0130 bitcoin, pari a circa 54 dollari, oppure effettuare un hard reset riportando il dispositivo alle condizioni di fabbrica. Chi però dovesse aver installato un software di gestione remota potrà facilmente reimpostare il PIN, riconquistando il controllo del dispositivo. I ricercatori di ESET hanno inoltre affermato che i principali antivirus del mercato sono in grado di prevenire l'infezione.

Ma le minacce non finiscono qui. DoubleLocker condivide infatti le proprie radici con un trojan già noto, Android.BankBot.211.origin, in grado di sottrarre le credenziali bancarie e di PayPal dai sistemi delle vittime, una funzione che in un prossimo futuro potrebbe essere aggiunta molto facilmente, trasformandolo di fatto in una sorta di "ransom-banker", peraltro già identificato in una versione di test in the wild lo scorso maggio.

La diffusione dei ransomware su Android non è una novità ma sta conoscendo un momento di crescita esponenziale, raggiungendo come abbiamo appena visto nuove vette di pericolosità. In questi casi, oltre a installare un antivirus, la ricetta è sempre la stessa, ovvero utilizzare il buon senso e non cliccare a caso su qualsiasi cosa ci si apra davanti. Diventare utenti più consapevoli infatti è il primo, e spesso il più efficace, livello di difesa.


Tom's Consiglia

Un antivirus è ormai indispensabile anche su smartphone. Potete provare ad esempio Norton Security Deluxe 2017. La versione con 1 anno di abbonamento per 5 dispositivi si trova scontanta del 42%.