Ransomware se está convirtiendo en un problema no sólo para aquellos que utilizan las computadoras, pero para los usuarios de Android también. Mientras que la mayoría de los Android de ransomware en realidad no cifrar los archivos, que acaba de bloqueo de la pantalla, hay algunas que lo hacen. Un nuevo ransomware, DoubleLocker, ha sido descubierto por investigadores de ESET, y no sólo encripta tus archivos, sino también de los cambios de su dispositivo PIN, el cual esencialmente bloquea el dispositivo. 
“DoubleLocker puede cambiar el PIN del dispositivo, la prevención de las víctimas de acceder a sus dispositivos, y también encripta los datos que encuentra en ellos – una combinación que no se ha visto previamente en el ecosistema de Android,” el ESET report explains.
El malware para Android se propaga a través de un malicioso actualización de Flash. Gana derechos de administrador, se establece como el valor predeterminado de Inicio de la aplicación, cifra sus archivos, y los cambios de su PIN, de modo que usted no puede tener acceso al dispositivo. Parece ser conectado a la notoria Svpeng Android Troyanos bancarios, ya que se basa en el mismo código.
El Svpeng banca de Troya es uno de los primeros malware para Android que fue capaz de robar dinero de cuentas bancarias a través de SMS basado en la gestión de la cuenta de servicios, falsa de inicio de sesión de pantallas para que los usuarios son engañados en la regalando sus credenciales, y agregar ransomware características. DoubleLocker utiliza el mismo código de Svpeng para bloquear el dispositivo y cifrar archivos, pero a diferencia de Svpeng, no incluye el código para robar el banco de información relacionada.
DoubleLocker se propaga a través de falsos actualización de Adobe Flash Player
Al igual que un montón de malware, computadora y Android, este se difunde a través de falsas actualizaciones de Flash de Adobe. La infección es muy fácil, usted visita un sitio web cuestionables, solicita que actualice Adobe Flash Player para ver el contenido, y una vez que descargue la malicioso actualización, el ransomware es en el interior.
“Una vez puesto en marcha, la aplicación solicita la activación del malware accesibilidad del servicio, llamado “Google Play Service”. Después de que el malware obtiene la accesibilidad de los permisos, se los utiliza para activar el dispositivo derechos de administrador y se fijó como el de Inicio por defecto de la aplicación, en ambos casos sin el consentimiento del usuario,” de ESET Lukáš Štefanko explica.
Se reactiva cada vez que el usuario presiona el botón de Inicio
Una vez que obtiene todos los necesarios derechos de administrador, que codifica sus datos y bloquear la pantalla. En lugar de la habitual de fondo, usted verá una nota de rescate. A diferencia de muchos otros programas maliciosos para Android, DoubleLocker hace cifrar sus archivos, lo que significa que hay poca posibilidad de que usted va a regresar. Añade el .cryeye extensión a todos los archivos afectados.
“El cifrado se implementa correctamente, lo que significa que, por desgracia, no hay manera de recuperar los archivos sin recibir la clave de cifrado de los atacantes,” Štefanko explica.
Cuando el malware bloquea el dispositivo, cambia el PIN pero no almacenar en cualquier lugar, por lo que los delincuentes no tienen, y los investigadores no lo puede recuperar. Cuando el rescate es pagado, los hackers pueden restablecer el PIN de desbloqueo de su dispositivo.
Los investigadores también tenga en cuenta que el ransomware se inicia cuando el usuario pulsa el botón de Inicio. Cada vez que la Casa se pulsa el botón, el ransomware activa, lo que significa que incluso si el usuario se las arregla para eludir el bloqueo, si se pulsa el botón de Inicio, la pantalla sería bloqueado de nuevo.
Restablecimiento de fábrica necesarias con el fin de deshacerse de DoubleLocker
Con el fin de desbloquear el dispositivo, los usuarios piden que pague 0.0130 Bitcoin, que es de alrededor de $70. Desafortunadamente, no hay manera de recuperar los datos, a menos que la copia de seguridad de todo antes de la infección. Y con el fin de deshacerse de DoubleLocker, los usuarios necesitan para realizar un completo restablecimiento de fábrica.
“Para dispositivos arraigados, sin embargo, hay un método para superar el bloqueo de PIN sin un restablecimiento de fábrica. Para que el método funcione, el dispositivo necesario para estar en el modo de depuración antes de que el ransomware se reactivó. Si se cumple esta condición, entonces el usuario puede conectar el dispositivo por ADB y eliminar el sistema de archivo donde se encuentra el PIN se almacena por Android. Esta operación se desbloquea la pantalla para que el usuario pueda acceder a su dispositivo. Luego, trabajando en modo seguro, el usuario puede desactivar el dispositivo de derechos de administrador para el malware y desinstalarlo. En algunos casos, un dispositivo es necesario reiniciar,” ESET explica.