Il Forum è consultabile solo in modalità lettura. Per domande o consigli iscriviti al nostro GRUPPO FACEBOOK / COMMUNITY cliccando qui

[INFO SECURITY VIRUS]DoubleLocker: il primo encoder che utilizza il servizio di Android Accessibilit

Discussione in 'Off Topic' iniziata da Giulio75, 14 Ott 2017.

  1. Giulio75

    Giulio75 Guest

    Gli specialisti dell'azienda di sicurezza informatica ESET hanno scoperto Android DoubleLocker, il primo encryption device che utilizza il servizio di Android Accessibility Service. Questo Malware non solo crittografa i dati, ma blocca anche il dispositivo.

    E' costruito sulla base di un Trojan che utilizza la funzione di accessibilità al sistema operativo Android; tuttavia; non dispone delle funzioni di raccolta dei dati bancari dell'utente e/o di cancellazione dei conti, ma offre strumenti per l'estorsione.

    DoubleLocker è distribuito attraverso siti web compromessi; la pagina web suggerisce di scaricare un'applicazione, Adobe Flash Player in maniera abbastanza assidua, installando il malware sotto la sua veste. Quindi il virus richiede l'autorizzazione per un servizio chiamato servizio Google Play (l'applicazione originale è chiamata Google Play Services), ottiene i diritti di amministratore e diventa il forker predefinito. Così, ogni volta che si tenta di tornare alla schermata iniziale (Home), l'estorsione dell'applicazione si apre e blocca il dispositivo.

    Una volta eseguito sul dispositivo, DoubleLocker utilizza due argomenti validi per costringere l'utente a pagare il riscatto.

    In primis, cambia il PIN del dispositivo, e ne impedisce l'utilizzo. Come un nuovo PIN viene dato un valore casuale, il codice non viene memorizzato sul dispositivo e nè viene inviato a fonti esterne

    In secondo luogo, DoubleLocker crittografa tutti i file nell'archivio primario del dispositivo, utilizzando l'algoritmo di crittografia AES e aggiungendo ad essi l'estensione .cryeye.

    1.png

    Il pagamento richiede 24 ore di tempo, dopodichè, se effettuato, viene rimosso da remoto il PIN e decodificati i file. Se invece lo si disattiva (il pagamento), il contenuto rimarrà inaccessibile, ma non verrà eliminato. Inoltre gli sviluppatori del virus lasciano un commento in cui sostengono che senza il loro aiuto la decrittazione dei file non funziona.

    2.png

    Per eliminare DoubleLocker, si consiglia di

    1. Ripristinarlo alle impostazioni di fabbrica.

    2. Se presenti i diritti di root abilitare il debug tramite USB nelle impostazioni per gli sviluppatori e quindi rimuovere il codice PIN tramite ADB.

    Fonte
     
    Giulio75, 14 Ott 2017
    #1
    A Matty22 piace questo elemento.