Quando si pensa di avere già catalogato tutte le varianti possibili di malware, ecco che qualche black hat anonimo, in un posto sconfinato del mondo, ci fa ricredere. È il caso di DoubleLocker, il nuovo malware per Android, che viene distribuito tramite siti compromessi che propongo un aggiornamento di Adobe Flash Player, programma che da tempo non è più supportato da questo sistema operativo.

Ransomware

Scoperto da ESET, la più grande casa di software per la sicurezza digitale dell’Unione Europea, come Android/DoubleLocker.A, il ransomware è basato su un particolare Tojan bancario. Nonostante questo, DoubleLocker non avrebbe le funzionalità dedicate a sottrarre le credenziali bancarie degli utenti, bensì, è munito di due armi fondamentaliper storcere denaro alle vittime: può cambiare il PIN per rendere inaccessibile il dispositivo e può anche crittare i dati presenti in esso, una combinazione mai vista prima nell’ecosistema Android.

La preoccupazione maggiore però, è che secondo gli esperti, queste funzionalità che permetterebbero di rubare le credenziali bancarie dai sistemi delle vittime potrebbero essere aggiunte molto facilmente tramite un update.

L’applicazione malevola, una volta installata, si procura le credenziali dell’utente mascherandosi come Google Play Service. In questo modo è capace di autonominarsi amministratore del sistema e launcher, così ha il via libera per cambiare il PIN del dispositivo. Il nuovo codice non viene né memorizzato né inviato al server di controllo come accade di solito, ma è generato casualmente, in modo da essere impossibile da recuperare.

Una volta resettato il PIN e quindi tagliato fuori l’utente, il malware cifra tutti i dati presenti nella memoria interna (di solito la cartella sdcard) con lo standard di cifratura Advanced Encryption Standard (AES), il robusto algoritmo di cifratura a blocchi usato dal governo degli Stati Uniti, pressoché impossibile da forzare; mentre i file sono salvati con estensione “.cryeye”. Successivamente, viene richiesto un riscatto di 0.0.130 Bitcoin, l’equivalente di circa 50 euro, entro 24 ore, per recuperare il controllo del dispositivo e riavere indietro tutti i dati.

ESET assicura che i principali software antivirus prevengono l’infezione da DoubleLocker, anche se ancora non esistono informazioni sulla rilevazione del malwareda parte di Google tramite Google Play Protect.

Nel caso l’utente avesse installato un software di gestione remota in grado di resettare il PIN, può reimpostarlo senza dover ricorrere al reset del dispositivo alle condizioni di fabbrica, seconda azione effettiva contro la minaccia. Inoltre, chi ha un dispositivo con permessi di root può facilmente reimpostare il PIN tramite Android Debug Bridge (ADB).

Alla prossima!