Gelişmiş Android Fidye Yazılımı DoubleLocker

Android cihazları hedef alan DoubleLocker adında bir fidye yazılım tespit edildi. Android’in erişilebilirlik servislerini kullanan ve kullanıcı telefonun menü tuşuna her bastığında kendisini tekrar aktif eden DoubleLocker, telefon içerisindeki dosyaları .cryeye uzantısı ile şifreliyor ve mağdurdan 0.013 Bitcoin istiyor.

Svpeng zararlısının telefonu kilitleme ve şifreleme parçalarını kullanan DoubleLocker, erişilebilirlik servisleri üzerinden yönetici yetkileri elde eden ilk fidye yazılım olma özelliğini taşıyor. Kullanıcıların erişilebilirlik yetkisi isteyen zararlı Flash Player uygulamasını telefonlarına indirmesiyle bulaşan DoubleLocker, erişilebilirlik yetkisini aldığında bu servis üzerinden kullanıcının telefon üzerindeki işlemlerini taklit edebiliyor.

Bu özelliğin kötüye kullanımıyla Android ayarlarına erişen ve kendisine yönetici yetkileri veren uygulama kullanıcının PINini rastgele bir PINle değiştiriyor ve telefonda içerisindeki bütün dosyaları AES şifreleme algoritması ile şifreliyor.

DoubleLocker, dosyaları şifrelemesiyle de çoğu Android tabanlı fidye yazılımlardan ayrılmakta. Aktif olarak görülen fidye yazılımların büyük kısmı kullanıcı ekranını kilitlemekte ve fidye talep etmekte.

DoubleLocker aynı zamanda kendisini varsayılan app launcher olarak ayarladığından dolayı menü tuşuna her basıldığında tekrar aktif olma özelliğine sahip. Bu sayede cihaz üzerinde kalıcı olmayı sağlayarak kullanıcının her hangi br şekilde kilit ekranını bypass ederek telefonuna ulaşmasını da engellemiş oluyor.

Fidye yazılımı her ne kadar telefona atanan rastgele PIN kodunu ve şifreleme anahtarını bir sunucuya göndermese de, fidye ödendiğinde saldırganın uzaktan PIN’i sıfırlayabildiği ve telefonu açabildiği bilinmekte.