ESET scopre DoubleLocker: i ransomware arrivano su Android
Gli smartphone sono sempre più al centro della nostra vita digitale e bloccarli è un'azione che può provocare diverse difficoltà. I ricercatori ESET hanno scoperto un ransomware che fa proprio questo: blocca i telefoni Android
di Riccardo Robecchi pubblicata il 16 Ottobre 2017, alle 09:01 nel canale SicurezzaESETAndroid
ESET ha individuato un nuovo malware per Android, chiamato DoubleLocker, che blocca il terminale e cifra i dati chiedendo un riscatto in cambio della chiave per la decifrazione e lo sblocco del dispositivo.
In questo caso l'infezione avviene all'esterno del Play Store: la distribuzione avviene tramite siti compromessi che propongono un aggiornamento di Adobe Flash Player (non più supportato da Android da tempo).
L'applicazione, una volta installata, richiede permessi aggiuntivi: dopo aver ottenuto i permessi di accessibilità (mascherandosi come Google Play Service), si imposta in autonomia come amministratore del dispositivo e come launcher, per poi modificare il PIN dello smartphone. L'utente si trova quindi nell'impossibilità di accedere al dispositivo. Il PIN non viene memorizzato né inviato al server di controllo: viene generato a caso e non può essere in alcun modo recuperato, ma solo resettato (in remoto dal malvivente o in locale, come spiegato tra poco).
Il malware provvede poi a cifrare i file presenti nella memoria interna accessibile all'utente (la cartella sdcard, tipicamente). Lo standard di cifratura utilizzato è il robusto AES, pressoché impossibile da forzare, mentre i file sono salvati con estensione ".cryeye".
Per riottenere il controllo del dispositivo è necessario pagare 0.0.130 Bitcoin, equivalenti a circa 50€, entro 24 ore. Non pagando tale cifra, l'unico modo per riappropriarsi del dispositivo è eseguire un reset alle condizioni di fabbrica. Tale eventualità non si rende necessaria se si ha installato un software di gestione remota in grado di resettare il PIN.
Nonostante i frequenti avvertimenti circa i maggiori rischi di sicurezza dell'ottenere i permessi di root, chi ha un dispositivo infetto con permessi di root può facilmente reimpostare il PIN tramite ADB e recuperare il controllo del dispositivo.
I ricercatori di ESET affermano che i principali software antivirus prevengono l'infezione da DoubleLocker. Non si hanno attualmente informazioni circa la rilevazione del malware da parte di Google tramite il programma Google Play Protect.
La diffusione dei ransomware su Android è in crescita e val la pena notare come vengano spesso sfruttate le ingenuità degli utenti per concedere alle applicazioni malevole i permessi per danneggiare il dispositivo. Il suggerimento sempre valido in questi casi è quello di rifarsi al vecchio detto: "fidarsi è bene, non fidarsi è meglio". L'installazione di applicazioni deve avvenire solo tramite fonti certe e sicure, come il Play Store o l'Amazon App Store. L'installazione da altre fonti può essere causa di problemi e, nel dubbio, è sempre meglio essere diffidenti e non installare nulla.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDiciamo che usare lo store è una prima difesa contro il malware, ma non sempre è sufficiente.
Bisogna capire quale app si sta scaricando, e soprattutto se/perché ha veramente bisogno di tutti i permessi che chiede.
Flash player per android è deprecato da tempo...
I sistemi più evoluti, permettono una gestione puntuale delle permission...
Insomma, come nella maggior parte dei casi segnalati, se te la vai a cercare, è facile che la trovi !
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".