Android/Lockerpin.A: dove si trova e come difendersi dal nuovo ransomware Android – GNU
Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.
Brutte nuove per Android: non bastavano infatti le notizie riguardanti una vulnerabilità di WhatsApp Web che avrebbe messo in crisi 200 milioni di utenti (ma che fondamentalmente è solo una responsabilità dell’app di chatting che, ahimè, coinvolge anche migliaia di utenti del sistema operativo di Google) e il pericolo di Stagefright (che ha scosso le coscienze come mai aveva fatto prima un malware): il centro di studi e ricerca ESET ha scoperto un nuovo tipo di ransomware, ossia un malware che punta al prelievo forzoso di denaro dal conto corrente dell’utente dietro il pagamento di un riscatto. Il suo nome è Android/Lockerpin.A, e speriamo che non diventi tristemente famoso.
Ciononostante ESET ha rilasciato le informazioni necessarie per riconoscere un’infezione da Android/Lockerpin.A ed i metodi per combatterla: siete pronti a scoprire come evitare di caderne preda con la nostra Guida per Nuovi Utenti?
Dagli USA con terrore – Android/Lockerpin.A: che cos’è
Android/Lockerpin.A è un ransomware che ha fatto la propria comparsa negli Stati Uniti, ma che non ha tardato a trovare terreno fertile anche nei Paesi esterni agli U.S.A.: ciononostante, la metodologia d’attacco e d’infezione è tipicamente relativa ai ransomware di natura americana, e vedremo anche perchè.
Che cos’è
Android/Lockerpin.A è un ransomware, un particolare tipo di malware che punta all’estorsione di denaro, scopo per il quale il virus ricorre a diversi tipi di camuffamento e per questo è inseribile nella categoria dei trojan. La vittima infatti si accorge dell’avvenuto contagio solamente nel momento in cui lo smartphone risulta essere completamente bloccato: la schermata viene occupata da un messaggio, mascherato da avviso governativo, in cui si accusa l’utente di aver scaricato materiale vietato, solitamente pedopornografico, per il quale il telefono è stato sequestrato da remoto in attesa del pagamento di una multa salata.
Dove si trova
Come tutti i malware, Android/Lockerpin.A non fa eccezione: il ransomware si nasconde infatti in siti poco sicuri, come forum online, siti di torrent e streaming non verificati o pornografici e naturalmente market di app di terze parti. Come già abbiamo affermato nella nostra Guida per Nuovi Utenti sui file APK di Android i market esterni sui quali vengono caricati i materiali d’installazione delle applicazioni, anche a pagamento, non sono affidabili tanto quanto gli store ufficiali (Google Play e Amazon App Shop). Esistono naturalmente store peri quali il rischio di contagio da parte di un malware è quasi nullo (APK Mirror è gestito dal sito d’informazione americano Android Police), ma generalmente, se possibile, vi consigliamo di fare molta attenzione.
Quali utenti colpisce
Stando ai report diffusi dalla ESET, Android/Lockerpin.A colpisce in maniera particolare gli utenti statunitensi, ma anche quelli europei non sarebbero esenti dalla minaccia. Le statistiche hanno infatti evidenziato un 75% di utenti U.S.A. contagiati dal ransomware, mentre il rimanente 25% evidenzia vittime di nazionalità straniera, in particolar modo russi ed ucraini.
Un cavallo di Troia mascherato da FBI – Android/Lockerpin.A: come si comporta
Attraverso quali meccanismi il ransomware si installa nello smartphone e ne prende possesso? Come ogni trojan anche Android/Lockerpin.A utilizza una falsa identità per sfruttare l’ingenuità dell’utente affinchè gli siano concessi gli strumenti necessari per attuare il blocco del telefono: vediamo quali sono i passaggi che ne segnalano la progressiva infezione.
#1. Il falso aggiornamento
Una volta che Android/Lockerpin.A viene scaricato nello smartphone ospite si attiverà per prendere possesso dei Permessi di Amministratore, degli speciali permessi che solitamente dovrebbero essere concessi ad applicazioni fidate e solo per particolari attività. Il malware copre la sua presenza sotto forma di una serie di schermate che segnalerebbero all’utente la presenza di un falso aggiornamento di sistema: premendo su “Continue” nella finestra “Update Patch Installation” (dotato anche di un’icona del tutto simile alle prime versioni dell’app di Impostazioni Google) in realtà verranno concessi all’applicazione i Permessi di Amministratore, e l’infezione potrà avere atto.
#2. La falsa schermata
Successivamente il malware occupa la schermata con un falso comunicato secondo cui la Federal Bureau of Investigation, avendo trovato riscontro di materiale pedopornografico all’interno dello smartphone, avrebbe proceduto al blocco completo del telefono nell’attesa del pagamento di una multa quantificata in 500$ USD, da compiere entro tre giorni.
Che si decida di pagare o meno il riscatto, successivamente si attiverà un lockscreen fasullo e gestito da Android/Lockerpin.A che permetterà di accedere al telefono solo indovinando il PIN, che comunque è casuale e varia ad ogni tentativo. Dopo qualche minuto di utilizzo comunque il device verrà definitivamente compromesso e nè il mandante dell’attacco nè l’utente potrebbero, a quel punto, sbloccarlo.
Tre metodi per contrastarlo – Android/Lockerpin.A: come difendersi
Naturalmente esistono alcuni rimedi ad un’infezione da Android/Lockerpin.A, anche se naturalmente bisognerebbe evitare sin dal principio di venirne a contatto frequentando market di terze parti o siti dalla dubbia utilità; nessuno di questi metodi è però semplice nè tantomeno indolore.
Revoca dei Permessi di amministratore
Il malware non consente la disinstallazione di sè stesso: cercando infatti di revocare i Permessi di amministratore al malware appena installato, questo attiverà una funzione nascosta che gli permetterà di riattivarli nello stesso modo in cui li ha ottenuti la prima volta. Android/Lockerpin.A infatti provvederà a visualizzare una schermata simile a quella nell’immagine, e cliccando su “Continue” il ransomware attiverà nuovamente il suo accesso ai Permessi, vanificando lo sforzo. Le versioni più aggressive hanno anche dimostrato un’immunità dai principali antivirus mobili, tra cui Avast ed ESET Mobile Security.
Reset dello smartphone
Uno dei metodi di comprovata efficacia è purtroppo il reset dello smartphone, facendolo entrare in recovery mode e provvedendo ad attivare il comando. Quest’azione porterà inesorabilmente alla cancellazione di tutti i dati interni.
ADB e Soft Mode
Infine, è possibile entrare nella Soft Mode (o Modalità provvisoria) e riportare il telefono alle condizioni precedenti all’acquisto in quel lasso di tempo che separa l’installazione di AndroidLockerpin.A e la comparsa della falsa schermata firmata FBI (cliccate QUI per scoprire come fare); un’alternativa è data dall’utilizzo dell’Android Debug Bridge, ma la prontezza di riflessi dev’essere tale da precedere il ransomware in velocità.
Vuoi conoscere tutti i tipi di Malware in circolazione, e capire come difendersi? Scoprili QUI nel nostro Approfondimento dedicato!
Non scordatevi di iscrivervi alla nostra newsletter se non volete perdervi nessun’altra Guida per Nuovi Utenti: vi basterà inserire la vostra email nella casella in basso e premere sul pulsante “Iscriviti!”.
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sulla nostra pagina Google Plus, o, in alternativa, potete sempre scaricare la nostra app da Google Play (che abbiamo appena aggiornato alla versione 3.0!), cliccando QUI o sull’immagine nella sidebar!
[wysija_form id=”3″]
