Ransomware sta diventando un problema non solo per chi usa il computer, ma per gli utenti Android. Mentre la maggior parte Android ransomware, in realtà, non crittografare i file, semplicemente bloccare lo schermo, ci sono alcuni che lo fanno. Un nuovo ransomware, DoubleLocker, è stata avvistata da ESET ricercatori, e non solo, consente di crittografare i file, ma cambia anche il PIN del dispositivo, che in sostanza si blocca fuori dal vostro dispositivo. 
“DoubleLocker possibile modificare il PIN del dispositivo, impedendo vittime di accedere ai loro dispositivi, e di crittografare i dati si trova in una combinazione che non è stato visto in precedenza nell’ecosistema Android,” ESET report explains.
Il malware per Android si diffonde tramite una dannosi aggiornamento di Adobe Flash. Acquista i diritti di amministratore, si pone come Home predefinita dell’applicazione, consente di crittografare i file, e cambia il tuo PIN in modo che è impossibile accedere al dispositivo. Sembra essere collegato con il famigerato Svpeng Android Trojan bancario, in quanto è basato sullo stesso codice.
Il Svpeng Trojan bancario è uno dei primi Android malware in grado di rubare denaro dai conti bancari via SMS account per la gestione dei servizi, falso schermate di accesso in modo che gli utenti sono indotti a dare via le loro credenziali, e aggiungere ransomware caratteristiche. DoubleLocker utilizza lo stesso codice come Svpeng per bloccare il dispositivo e crittografare i file, ma a differenza di Svpeng, non include il codice per rubare banca relative informazioni.
DoubleLocker si diffonde tramite falso aggiornamento di Adobe Flash Player
Proprio come un sacco di malware, entrambi i computer e Android, questa si diffonde tramite falsi aggiornamenti di Adobe Flash. L’infezione è abbastanza facile, si visita un sito web discutibile, le richieste di aggiornare il tuo Adobe Flash Player per visualizzare il contenuto, e una volta che si scaricare il malware aggiornamento, il ransomware è all’interno.
“Una volta avviata, l’app richiede l’attivazione del malware accessibilità del servizio, denominato “Google Play Service”. Dopo il malware ottiene le autorizzazioni di accessibilità, li usa per attivare il dispositivo diritti di amministratore e si colloca, come la Home page predefinita applicazione, in entrambi i casi senza il consenso dell’utente,” ESET Lukáš Štefanko spiega.
Riattiva ogni volta che l’utente preme il tasto Home
Una volta che si ottiene tutti i necessari diritti di amministratore, crittografia dei dati e consente di bloccare lo schermo. Invece del solito sfondo, verrà visualizzata una richiesta di riscatto. A differenza di un sacco di altri malware per Android, DoubleLocker non crittografare i file, il che significa che c’è poca possibilità di farli tornare. Si aggiunge la .cryeye estensione di tutti i file infetti.
“La crittografia è implementato correttamente, il che significa che, purtroppo, non c’è alcun modo per recuperare i file senza ricevere la chiave di crittografia da aggressori,” Štefanko spiega.
Quando il malware che blocca il dispositivo, cambia il PIN, ma non lo memorizza ovunque, in modo che i criminali non hanno, e i ricercatori non è possibile recuperarlo. Quando il riscatto è stato pagato, gli hacker remoto di reimpostare il PIN, lo sblocco del proprio dispositivo.
I ricercatori hanno inoltre notare che il ransomware viene eseguito quando l’utente preme il tasto Home. Ogni volta che il tasto Home è premuto, il ransomware attiva, il che significa che anche se l’utente riesce a bypassare il blocco, se si preme il tasto Home, lo schermo sarebbe di nuovo bloccata.
Reset di fabbrica necessari al fine di sbarazzarsi di DoubleLocker
In ordine per sbloccare il dispositivo, gli utenti sono invitati a prestare la 0.0130 Bitcoin, che è di circa $70. Purtroppo, non c’è modo di recuperare i dati, a meno che non si esegue il backup di tutto prima dell’infezione. E, al fine di sbarazzarsi di DoubleLocker, gli utenti devono eseguire un factory reset completo.
“Per i dispositivi root, tuttavia, c’è un metodo per superare il blocco PIN, senza un reset di fabbrica. Per il metodo di lavoro, il dispositivo necessario per essere in modalità di debug prima di ransomware stata attivata. Se questa condizione è soddisfatta, quindi l’utente può connettersi al dispositivo da ADB e rimuovere i file di sistema in cui il PIN viene memorizzato da Android. Questa operazione consente di sbloccare lo schermo in modo che l’utente può accedere al proprio dispositivo. Poi, lavorando in modalità provvisoria, l’utente può disattivare il dispositivo di diritti di amministratore per il di malware e disinstallarlo. In alcuni casi, un riavvio del dispositivo è necessario” ESET spiega.