DoubleLocker, la infección que podría inutilizar su dispositivo Android
Un nuevo tipo de ransomware para Android puede cifrar su dispositivo y cambiar su PIN, dejándolo sin acceso a sus datos.
Este nuevo tipo de ransomware remueve casi todo acceso al dispositivo, lo que hace casi imposible que las víctimas recuperen sus datos. La variante, llamada DoubleLocker por los investigadores de ESET que la descubrieron, infecta a los dispositivos haciéndose pasar como una actualización de Adobe Flash mediante sitios web comprometidos.
Una vez descargado, la actualización falsa pide permiso para activar “Google Play Services”, y se aprovecha de varios permisos de accesibilidad diseñados para que personas con discapacidades puedan usar sus teléfonos. Estos permisos incluyen acceso al contenido mostrado en pantalla y activación de enhanced web accessibility, una función que permite instalar scripts y observar el texto ingresado en el dispositivo.
Una vez obtiene los permisos necesarios, la aplicación se instala como el default home app. La próxima vez que el usuario presiona el botón de Home, activa el ransomware y se muestra una pantalla indicando que debe pagar el rescate. Además, la infección ataca el dispositivo de dos maneras: primero cifra la data usando el algoritmo AES con la extensión “cryeye”. Luego, cambia el PIN del dispositivo a un número aleatorio, por lo que el usuario pierde total acceso a su dispositivo.
Cómo recuperar su data
Malas noticias: el cifrado de DoubleLocker parece aplicarse efectivamente y sin vulnerabilidades obvias, por lo que no se ha podido generar un descifrador hasta ahora. Por otra parte, el PIN nuevo aplicado no se almacena en ninguna parte, por lo que no se puede recuperar el acceso al dispositivo. Los atacantes realizan un reset del PIN nuevamente una vez se paga el rescate, para que la víctima pueda recuperar el acceso.
Al momento de redacción, los atacantes piden 0.0130BTC por el descifrado, que son algunos $94 al valor actual del Bitcoin. Aunque no es mucho comparado con otras formas de ransomware, puede que los atacantes cuenten con que esto motive a las víctimas a que paguen el rescate. Se provee un límite de 24 horas para pagar este monto. Dado que pagar el rescate solo fomenta la creación y dispersión de este tipo de ataques, siempre recomendamos que no lo haga.
Para muchos, la única manera de eliminar la infección es realizar un factory reset. Sin embargo, esto resultará en la pérdida de toda data que no esté respaldada. Hay una pequeña posibilidad que aquellos con modo de debugging encendido en sus dispositivos puedan remover el archivo donde se almacena la configuración del PIN, lo que forzaría un reset del mismo y les permitiría restaurar acceso al dispositivo.
La mejor manera de protegerse de estos ataques es no instalar aplicaciones si no provienen de un mercado confiable, como el Play Store.
