Ransomware is een probleem, niet alleen voor diegenen die gebruik maken van computers, maar ook voor Android-gebruikers. Terwijl de meeste Android-ransomware eigenlijk niet versleutelen van bestanden, ze zijn gewoon vergrendelen van de scherm, zijn er een paar die dat wel doen. Een nieuwe ransomware, DoubleLocker, is gespot door ESET onderzoekers, en het niet alleen versleutelt uw bestanden, maar verandert ook uw toestel de PIN-code, die in wezen sluizen u uit uw apparaat. DoubleLocker Android ransomware locks your screen and encrypts your data“DoubleLocker kan het apparaat wijzigen de PIN van het voorkomen van slachtoffers toegang hebben tot hun apparaten, en ook het coderen van de gegevens vindt in hen – een combinatie die nog niet eerder gezien in het Android-ecosysteem”, de ESET report explains.

De Android-malware verspreidt zich via een kwaadaardige Adobe Flash-update. Het krijgt de administrator-rechten heeft, stelt zich de standaard Home applicatie, versleutelt uw bestanden, en verandert uw PIN-code, zodat u geen toegang tot het apparaat. Het lijkt verbonden te zijn met het beruchte Svpeng Android banking Trojan, als het is gebaseerd op dezelfde code.

Android ransomware locks your screen and encrypts your data

De Svpeng banking Trojan is een van de eerste Android-malware die in staat was om geld te stelen van bankrekeningen via SMS-account beheren van services, fake login schermen, zodat gebruikers zich misleiden door het weggeven van hun referenties, en voeg ransomware functies. DoubleLocker maakt gebruik van dezelfde code als Svpeng om het apparaat te vergrendelen en bestanden versleutelen, maar in tegenstelling tot Svpeng, het omvat niet de code te stelen bank gerelateerde informatie.

DoubleLocker verspreidt zich via valse Adobe Flash Player update

Net als veel van malware, computer-en Android, deze verspreidt zich via valse Adobe Flash-updates. Infectie is heel eenvoudig, u bezoekt een twijfelachtige website, verzoeken dat u een update van de Adobe Flash Player om de inhoud weer te geven, en zodra u downloaden van de kwaadaardige update, de ransomware is binnen.

“Eenmaal gelanceerd, de app vraagt activering van de malware de toegankelijkheid van de dienst, genaamd ‘Google-Play-Dienst”. Na de malware verkrijgt de toegankelijkheid machtigingen, gebruikt ze te activeren apparaat administrator-rechten en stelt zich als de standaardstartpagina toepassing, in beide gevallen zonder toestemming van de gebruiker,” ESET Lukáš Štefanko uitgelegd.

Zet elke keer als de gebruiker drukt op de Home knop

Zodra het krijgt al de nodige administrator rechten, het codeert (versleutelt) uw gegevens en de sloten op uw scherm. In plaats van de gebruikelijke achtergrond zie je een los geld nota. In tegenstelling tot veel andere Android-malware, DoubleLocker doet uw bestanden te versleutelen, wat betekent dat er weinig kans die je krijgt ze terug. Het voegt het .cryeye uitbreiding van alle bestanden.

“De codering juist is geïmplementeerd, wat betekent dat, helaas, er is geen manier om te herstellen van de bestanden zonder de ontvangst van de encryptie sleutel van de aanvallers,” Štefanko uitgelegd.

Wanneer de malware uw toestel vergrendelt, wordt de PIN-code maar niet slaan overal, dus de criminelen hebben het niet, en onderzoekers kunnen herstellen. Als het losgeld is betaald, kunnen hackers op afstand resetten van de PIN, het ontsluiten van uw apparaat.

De onderzoekers ook rekening mee dat de ransomware gestart wanneer de gebruiker raakt de Home-knop. Elke keer dat de Home-knop is ingedrukt, de ransomware activeert, wat betekent dat zelfs als de gebruiker weet te omzeilen het slot, als ze op de Home knop drukt, het scherm zou opnieuw worden vergrendeld.

Factory reset nodig om zich te ontdoen van DoubleLocker

In volgorde om het apparaat te ontgrendelen, de gebruikers worden gevraagd om te betalen 0.0130 Bitcoin, dat is rond de $70. Helaas, er is geen manier om gegevens te herstellen, tenzij u hebt een back-up van alles voorafgaand aan de infectie. En om zich te ontdoen van DoubleLocker, gebruikers nodig hebben om een volledige factory reset.

“Voor geroote apparaten, er is echter een methode om langs de PIN-vergrendeling zonder een factory reset. Voor de methode werkt alleen als het apparaat nodig is om in de fout opsporings modus voordat de ransomware kreeg geactiveerd. Als aan deze voorwaarde is voldaan, dan kan de gebruiker verbinding maken met het apparaat door het ADB en verwijder het system-bestand waar de PIN-code wordt opgeslagen door Android. Deze handeling opent het scherm, zodat de gebruiker toegang heeft tot het apparaat. Vervolgens werken in de veilige modus, kan de gebruiker te deactiveren apparaat administrator-rechten voor de malware en het verwijderen. In sommige gevallen, een apparaat herstart nodig is,” ESET uitgelegd.

Geef een reactie