Se trata de DoubleLocker, un malware tipo ransomware para Android que no solo encripta nuestros archivos personales del terminal, sino que además cambia el código de acceso al mismo para que no podamos solucionarlo por nuestra cuenta. Su nombre ya lo dice todo, ya que este nuevo malware lleva a cabo ambas tareas maliciosas con el fin de que el usuario tenga aún más complicado poner medios para evadir el ataque.

Este es un ransomware descubierto por investigadores de seguridad de la empresa ESET y se trata del primer software de rescate que abusa de la función de accesibilidad de Android, por lo que implementa formas alternativas de interactuar con un dispositivo móvil. Estos servicios de accesibilidad son objeto de abuso por parte de otros tipos de ataques maliciosos como troyanos bancarios o adware, pero nunca se había visto algo como DoubleLocker.

DoubleLocker, un malware que encripta los datos y cambia el Pin del terminal

Tiene sus raíces en un malware bancario y cabe mencionar que los ciberdelincuentes comenzaron a difundir este código malicioso como parte de una actualización falsa de Adobe Flash a través de sitios web y aplicaciones comprometidas.

android-1

Una vez que la víctima ha lanzado la herramienta, esta solicita la activación del servicio de accesibilidad y una vez que el código malicioso ha obtenido estos permisos, los utiliza para activar los derechos de administrador del terminal y configurarse como la aplicación Home sin el consentimiento del usuario.

De este modo cada vez que el usuario hace clic en el botón de inicio, el ransomware se activa y el dispositivo se bloquea de nuevo, por lo que gracias a la utilización del servicio de accesibilidad, el usuario no sabe que lo lanza malware pulsando el mencionado botón Home. Lo primero que hace DoubleLocker es cambiar el PIN de acceso a un valor aleatorio que ni los estafadores conocen ni almacenan en ningún sitio. Al mismo tiempo, se encriptan todos los archivos usando el algoritmo de encriptación AES para cada archivo.

Por el momento el proceso de cifrado no tiene errores, lo que hace imposible recuperar los archivos sin recibir la clave de cifrado de los delincuentes, que es de unos 75 dólares, pago que debe ser completado en menos de 24 horas. Por lo tanto y como siempre, la mejor manera de proteger nuestro dispositivo es instalar aplicaciones solo desde tiendas de confianza como la Google Play y prestar atención a la «reputación» de los desarrolladores.

 

Fuente: SecurityAffairs | adslzone