Tutto ciò che occorre sapere su DoubleLocker, il ransomware che blocca per sempre i dati dello smartphone

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

I malware Android non sono mai passati di moda ed anzi, con l’espansione del mercato dei device legati all’Internet of Things, molti analisti del settore della sicurezza informatica hanno predetto una nuova alba del crimine digitale, che sembra nutrire sempre maggior interesse nei confronti dei ransomware. E se i dispositivi smart home sono ancora molto lontani dal divenire un accessorio indispensabile, i ransomware sono tutt’altro che una novità sulla piattaforma mobile di Google: proprio oggi ESET ha segnalato un nuovo virus che, partendo dalla base di un malware bancario, si è sviluppato in un sofisticato e temibile ransomware, chiamato Android/DoubleLocker.A.

Siete pronti per scoprire tutto ciò che occorre sapere su DoubleLocker, il nuovo ransomware più temibile di Android?

Che cos'è DoubleLocker

Un ransomware è solitamente un malware che, una volta penetrato nel device della vittima utilizzando tecniche tipiche del trojan – e dunque mascherandosi da applicazione legittima, ed acquisendo i permessi necessari per operare in tranquillità servendosi sempre del proprio camuffamento – ne prende possesso abusivamente, impedendo qualunque accesso ai contenuti salvati al suo interno.

Come suggerisce lo stesso nome, un ransomware ha come obbiettivo finale l’estorsione di denaro. Questa particolare tipologia di virus è divenuta celebre durante i primi mesi del 2017, quando venne condotto un attacco hacker su larga scala contro sistemi informatici e target istituzionali in tutto il mondo, provocando danni per centinaia di milioni di dollari. Tra l’altro, la diffusione ulteriore del virus denominato WannaCry venne impedita da un giovane sviluppatore, Marcus Hutchins, che quasi casualmente ne disattivò la procedura d’infezione – solo per essere arrestato qualche settimana dopo perchè accusato di essere al lavoro sul malware Kronus, concentrato sugli attacchi bancari.

Ed è proprio da base simile che sono partiti gli sviluppatori di ESET per risalire alla natura del ransomware DoubleLocker, segnalato dalla società di prevenzione virus come uno dei più temibili in circolazione per via degli effetti. Nel lavoro di analisi svolto dal laboratorio di ricerca sono infatti risultate chiare le connessioni di DoubleLocker con il virus bancario BankBot, diffusosi già all’inizio quest’anno di cui vennero segnalate le particolarmente abili capacità nel saccheggio dei conti correnti altrui.

DoubleLocker però non deruba gli account bancari delle proprie vittime, nonostante le sue strategie siano finalizzate comunque all’estorsione di denaro.

Come DoubleLocker attacca gli smartphone degli utenti

DoubleLocker si trasmette negli smartphone degli utenti seguendo una strategia sfortunatamente famosa: mascherandosi da applicazione legata al Flash Player per Android, invita l’utente ad eseguirne il download da siti già compromessi per permettere la riproduzione dei contenuti in Adobe Flash – la medesima tattica venne sfruttata dal malware Trojan Downloader, che concentrava però completamente la propria azione sul camuffamento da Flash Player.

Differentemente DoubleLocker, una volta riuscito a penetrare nel device della vittima, modifica il proprio nome in “Google Play Service” e lo convince a concedergli permessi di accessibilità – che naturalmente il virus utilizzerà per l’autoassegnazione dei permessi di amministrazione dello smartphone e sostituendosi al launcher in uso.

Ed è proprio questa scelta, secondo i ricercatori di ESET, a rivelarsi vincente: l’utente infatti avvia inconsapevolmente ma manualmente l’azione estorsiva del ransomware semplicemente tappando il tasto Home; una volta attivatosi, recuperare i dati sarà praticamente impossibile anche per il più esperto dei professionisti informatici.

DoubleLocker pone infatti tutti i dati del device sotto il sequestro di una password nella forma di PIN: il numero assegnato è casuale ad ogni infezione e non viene registrato nè in remoto nè archiviato nel device, di conseguenza è impossibile ricavarlo. Tutti i dati vengono poi crittografati tramite cifratura AES sotto estensione .cryeye, e sfortunatamente l’operazione è eseguita nelle dovute proporzioni e funzioni tanto da rendere improbabile la rottura della crittografia da parte di un professionista di cybersecurity.

Such advice [la richiesta del malware di disattivare l’antivirus, ndr] is irrelevant: all those with a quality security solution installed on their devices are safe from DoubleLocker

Lukáš Štefanko, ricercatore ESET scopritore di DoubleLocker

Il ransomware offre naturalmente la possibilità di riscatto – consigliando al contempo, ironicamente, di disinstallare un antivirus se presente perchè se questo facilitasse la rimozione di DoubleLocker causerebbe la perdita di tutti i dati. La cifra da pagare è relativamente contenuta: 0,0130 Bitcoin, circa 63,42€ alla data di pubblicazione, entro 24 ore dalla visualizzazione del messaggio di riscatto, altrimenti – stando sempre alle parole dell’hacker – “i dati verranno cancellati”. I test di ESET hanno però evidenziato che allo scadere del termine non avviene nulla.

Come difendersi da DoubleLocker

Sfortunatamente, in caso di infezione non è possibile recuperare i propri dati in alcun modo ed anzi, secondo ESET l’unica azione da compiere è un reset alle condizioni di fabbrica per ottenere nuovamente l’accesso completo al device; solamente nel caso in cui il ransomware avvii la propria attività mentre lo smartphone (rootato) è settato in modalità debug.

Per evitare di cadere preda di DoubleLocker, i nostri consigli sono gli stessi che vi forniremmo in ogni altra occasione: non frequentate siti web dalla dubbia reputazione, mantenete attivo il buon senso ed eventualmente scaricate un antivirus – vi suggeriamo ESET Mobile Security, oppure una delle soluzioni presentate nella nostra Guida per Nuovi Utenti.

Il Flash Player per Android è stato poi sostituito da anni dallo standard HTML5, e quasi nessun sito web richiede l’uso del Flash Player per garantire il funzionamento – inoltre, potete sempre ricorrere ad una di QUESTE soluzioni se avete bisogno di installare necessariamente il Flash Player.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//