Специалисты ESET обнаружили Android/DoubleLocker – первый шифратор, использующий службу специальных возможностей Android Accessibility Service. Малварь не только шифрует данные, но и блокирует устройство.

DoubleLocker построен на базе банковского трояна, использующего службу специальных возможностей ОС Android. Тем не менее, DoubleLocker не имеет функций, связанных со сбором банковских данных пользователей и стирания аккаунтов, вместо этого в нем предусмотрены инструменты для вымогательства.



DoubleLocker может изменить PIN-код устройства, блокируя доступ жертвы, а также шифрует найденные данные – мы впервые наблюдаем такое сочетание функций в экосистеме Android.
С учетом происхождения от банковской малвари, DoubleLocker может быть превращен в то, что мы называем банкеры-вымогатели. Вредоносная программа действует в два этапа – пытается удалить банковский или PayPal аккаунт, а затем блокирует устройство и данные, чтобы запросить выкуп. Мы обнаружили тестовую версию такого банкера-вымогателя in-the-wild еще в мае 2017 года.

Распространение


DoubleLocker распространяется очень простым способом, как и его предок-банкер – преимущественно под видом фейкового Adobe Flash Player через скомпрометированные сайты.

После запуска приложение предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service. Получив необходимые разрешения, малварь использует их для активации прав администратора устройства и устанавливает себя как лаунчер по умолчанию – все без согласия пользователя.

Самоустановка в качестве лаунчера по умолчанию повышает персистентность вредоносного ПО. Всякий раз, когда пользователь нажимает кнопку «Домой», вымогатель активируется и устройство снова блокируется.

Блокировка устройства и шифрование данных


После выполнения на устройстве DoubleLocker использует два веских аргумента, чтобы вынудить пользователя оплатить выкуп.

Во-первых, он изменяет PIN-код планшета или смартфона, что препятствует использованию устройства. В качестве нового PIN задается случайное значение, код не хранится на устройстве и не отправляется куда-либо вовне, поэтому пользователь или специалист по безопасности не сможет его восстановить. Зато после получения выкупа злоумышленник может удаленно сбросить PIN и разблокировать устройство.

Во-вторых, DoubleLocker шифрует все файлы в основном хранилище устройства. Он использует алгоритм шифрования AES и добавляет расширение .cryeye.


Рисунок 1. Зашифрованные файлы на девайсе, зараженном DoubleLocker

Сумма выкупа составляет 0,0130 биткоина (около 4000 рублей), в сообщении подчеркивается, что оплата должна быть произведена в течение 24 часов. Если выкуп не перечислить, данные останутся зашифрованными, но удалены не будут.


Рисунок 2. Требование выкупа DoubleLocker

Как избавиться от DoubleLocker?


В сообщении о выкупе пользователя предупреждают о последствиях удаления или блокировки DoubleLocker: «Без программного обеспечения вы никогда не сможете вернуть исходные файлы». Чтобы предотвратить нежелательное удаление «программного обеспечения», мошенники даже рекомендуют отключать антивирусное ПО — довольно бессмысленно, поскольку при наличии качественного решения для безопасности устройство защищено от малвари.

Чтобы избавиться от DoubleLocker, рекомендуем принять следующие меры:

  • Нерутованное устройство, на котором не установлено решение для управления мобильным устройством, способное сбросить PIN-код: единственный способ избавиться от экрана блокировки – сброс до заводских настроек.
  • Рутованное устройство: пользователь может подключиться к устройству через ADB и удалить файл, в котором хранится PIN-код. Для этого необходимо включить отладку устройства (Настройки – Параметры разработчика – Отладка USB). Экран блокировки будет удален, и пользователь вернет доступ к устройству. Затем, работая в безопасном режиме, пользователь сможет деактивировать права администратора устройства для малвари и удалить ее. В некоторых случаях требуется перезагрузка устройства.

Для профилактики рекомендуем защитить Android-устройства качественными продуктами для безопасности и регулярно делать резервные копии.

Продукты ESET детектируют новую вредоносную программу как Android/DoubleLocker.

Комментарии (6)


  1. Xalium
    13.10.2017 13:29

    Настройки – Параметры разработчика – Отладка USB
    а вирус не может отключить эту настройку?


  1. grishkaa
    13.10.2017 13:47

    Мне в описаниях «вирусов» для андроида всегда так нравится, что

    После запуска приложение предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service. Получив необходимые разрешения...
    То есть то, что оно запрашивает подтверждение у пользователя, вообще никогда не считается препятствием, это всё равно «ужасное опасное вредоносное ПО», а не «пользователь идиот и не понимает, что он даёт чему попало полный доступ к управлению своим устройством, и поэтому полностью заслуживает последствия, в следующий раз будет головой думать».

    Ах да, и, конечно же,
    Для профилактики рекомендуем защитить Android-устройства качественными продуктами для безопасности
    Например, здравым смыслом.


    1. Tallefer
      14.10.2017 19:35
      +1

      И не устаревает!
      image


  1. Cobolorum
    13.10.2017 16:37
    +1

    Мы не дебилы!
    Дебилы не мы!


  1. AntonAlekseevich
    13.10.2017 17:18

    Какой же "не этичный" вирус… "предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service."
    А по умолчанию GPS разве запрашивает доступ к функциям? Вроде не должен.
    Этот факт меня смущает, хотя не должен.
    В данном случае пользователь будет сам виноват в последствиях от заражения своего устройства.


    Для профилактики рекомендуем защитить Android-устройства качественными продуктами для безопасности

    Одними словами статья типа "Я пиарюсь!".
    Я думаю что после этих слов, говорить про "KAV" и "KIS" лучше не стоит.


    Включившие голову пользователи, перестают использовать ваши антивирусные продукты, либо следуют советам поставить другой антивирь, так как считают что Антивирус ESET пробит насквозь, от системы получения обновлений из БД, до системы активации самого антивиря.


    Когда-то вообще пользовался исключительно продуктами Симантэка[конкретнее AV2006, IS2007 и Norton360(от 2011 года, если я не ошибаюсь)], замечу работали в разы лучше вашего продукта. (Но теперь стали хуже.)


    Посмотрите правде в глаза и исправьте баги в собственном антивирусе. [Обновления из БД, Активация продукта] (Возможно у вас была утечка учеток в районе примерно 2014 года. (Конечно это предположение, но всё же я думаю следует это проверить.))
    (Переактуализация информации мне всё же не помешает, только бы найти тех людей у которых до сей пор стоит ESET AV.)


    1. AntonAlekseevich
      14.10.2017 21:52

      Видимо тем кто поставил минуса, не очень сильно понравился "удар" из вне.
      Но когда-то халява должна закончится.