Essa ameaça explora os serviços de acessibilidade de dispositivos móveis e é capaz de bloquear o acesso dos usuários.
O ransomware DoubleLocker é uma ameaça descoberta recentemente que afeta dispositivos móveis com o sistema operacional Android. Ele é um exploit que criptografa todo o conteúdo do aparelho infectado e consegue modificar até as senhas de bloqueio das vítimas. Assim, apenas após o pagamento de um resgate, o usuário conseguiria a liberação de seus dados.
O DoubleLocker infecta os smartphones por meio de uma versão falsa do Flash Player oferecida por sites também infectados. Assim, quando o usuário baixa e executa o arquivo, o aplicativo solicita a ativação de serviços de acessibilidade para iniciar o malware, que irá roubar os direitos de administrador do aparelho e se estabelecer como aplicativo iniciador padrão.
Ele usa o código de um Trojan bancário conhecido por infectar serviços de acessibilidade de sistemas operacionais. Entretanto, ainda que não tenha funções relacionadas ao roubo de credenciais bancárias, ele conta com duas ferramentas que permitem o bloqueio de mobiles em troca de resgate.
Esse malware é capaz de alterar a senha PIN do aparelho e realizar a criptografia dos dados, o que até então não era comum em dispositivos móveis. Assim, o aparelho criptografado pelo criminoso só é liberado para a vítima após pagamento.
Ao se estabelecer como aplicativo iniciador padrão, o DoubleLocker solicita a ativação do serviço de acessibilidade do malware para enganar os usuários que acreditam que ele seja legítimo. Após obter as permissões necessárias, ele as utiliza para ativar os direitos de administrar o aparelho. Dessa forma, quando o usuário clica no botão iniciar, executa, sem saber, o ransomware, que bloqueia o dispositivo novamente.
Assim começa a ser executado no dispositivo, ele altera a senha PIN para que a vítima não consiga utilizá-la. O novo código criado é definido aleatoriamente e não é armazenado no smartphone, nem enviado para nuvem, o que impede que profissionais de segurança consigam recuperá-lo. Após isso, é realizada a criptografia de todos os arquivos da unidade principal de armazenamento, que passam a ter a extensão “.cryeye”.
O valor cobrado pelo resgate deve ser pago em até 24 horas. Caso os usuários não o efetuem seus dados continuam bloqueados. Os profissionais de tecnologia não aconselham o pagamento por não fornecer garantia de que o dispositivo será desbloqueado e por, além disso, concordar que o resgate acaba por incentivar o cibercrime.
A outra alternativa existente para resolver o problema seria a formatação do aparelho para restaurar as configurações de fábrica. Entretanto, o usuário irá perder todos os conteúdos não sincronizados.
Ransomwares, como o DoubleLocker, e outras ameaças estão se modernizando cada dia mais e tendo sucesso em infectar os dispositivos de muitos usuários, podendo causar grandes prejuízos. Portanto a divulgação de ataques como esse devem servir como um lembrete da necessidade de realizar backups, também, de dispositivos móveis e armazenar arquivos na Nuvem, além da instalação de soluções de segurança de qualidade.
Escreva seu comentário