ESET scopre DoubleLocker: i ransomware arrivano su Android

ESET scopre DoubleLocker: i ransomware arrivano su Android

Gli smartphone sono sempre più al centro della nostra vita digitale e bloccarli è un'azione che può provocare diverse difficoltà. I ricercatori ESET hanno scoperto un ransomware che fa proprio questo: blocca i telefoni Android

di pubblicata il , alle 09:01 nel canale Sicurezza
ESETAndroid
 

ESET ha individuato un nuovo malware per Android, chiamato DoubleLocker, che blocca il terminale e cifra i dati chiedendo un riscatto in cambio della chiave per la decifrazione e lo sblocco del dispositivo.

In questo caso l'infezione avviene all'esterno del Play Store: la distribuzione avviene tramite siti compromessi che propongono un aggiornamento di Adobe Flash Player (non più supportato da Android da tempo).

L'applicazione, una volta installata, richiede permessi aggiuntivi: dopo aver ottenuto i permessi di accessibilità (mascherandosi come Google Play Service), si imposta in autonomia come amministratore del dispositivo e come launcher, per poi modificare il PIN dello smartphone. L'utente si trova quindi nell'impossibilità di accedere al dispositivo. Il PIN non viene memorizzato né inviato al server di controllo: viene generato a caso e non può essere in alcun modo recuperato, ma solo resettato (in remoto dal malvivente o in locale, come spiegato tra poco).

Il malware provvede poi a cifrare i file presenti nella memoria interna accessibile all'utente (la cartella sdcard, tipicamente). Lo standard di cifratura utilizzato è il robusto AES, pressoché impossibile da forzare, mentre i file sono salvati con estensione ".cryeye".

Per riottenere il controllo del dispositivo è necessario pagare 0.0.130 Bitcoin, equivalenti a circa 50€, entro 24 ore. Non pagando tale cifra, l'unico modo per riappropriarsi del dispositivo è eseguire un reset alle condizioni di fabbrica. Tale eventualità non si rende necessaria se si ha installato un software di gestione remota in grado di resettare il PIN.

Nonostante i frequenti avvertimenti circa i maggiori rischi di sicurezza dell'ottenere i permessi di root, chi ha un dispositivo infetto con permessi di root può facilmente reimpostare il PIN tramite ADB e recuperare il controllo del dispositivo.

I ricercatori di ESET affermano che i principali software antivirus prevengono l'infezione da DoubleLocker. Non si hanno attualmente informazioni circa la rilevazione del malware da parte di Google tramite il programma Google Play Protect.

La diffusione dei ransomware su Android è in crescita e val la pena notare come vengano spesso sfruttate le ingenuità degli utenti per concedere alle applicazioni malevole i permessi per danneggiare il dispositivo. Il suggerimento sempre valido in questi casi è quello di rifarsi al vecchio detto: "fidarsi è bene, non fidarsi è meglio". L'installazione di applicazioni deve avvenire solo tramite fonti certe e sicure, come il Play Store o l'Amazon App Store. L'installazione da altre fonti può essere causa di problemi e, nel dubbio, è sempre meglio essere diffidenti e non installare nulla.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
lucusta16 Ottobre 2017, 09:27 #1
recuperando il controllo si recupera anche la chiave di cifratura e quindi anche i dati?
Opteranium16 Ottobre 2017, 10:29 #2
In effetti non è chiaro
*aLe16 Ottobre 2017, 10:35 #3
L'installazione di applicazioni deve avvenire solo tramite fonti certe e sicure, come il Play Store o l'Amazon App Store.
Ah già, perché le app presenti sullo store son tutte sicurissime... Mai successo che ce ne fossero di infette.

Diciamo che usare lo store è una prima difesa contro il malware, ma non sempre è sufficiente.
Bisogna capire quale app si sta scaricando, e soprattutto se/perché ha veramente bisogno di tutti i permessi che chiede.
gd350turbo16 Ottobre 2017, 10:35 #4
L'installazione di app fuori dallo store è solitamente disabilitata di default...
Flash player per android è deprecato da tempo...
I sistemi più evoluti, permettono una gestione puntuale delle permission...

Insomma, come nella maggior parte dei casi segnalati, se te la vai a cercare, è facile che la trovi !
emiliano8416 Ottobre 2017, 11:19 #5
Originariamente inviato da: *aLe
Ah già, perché le app presenti sullo store son tutte sicurissime... Mai successo che ce ne fossero di infette.

Diciamo che usare lo store è una prima difesa contro il malware, ma non sempre è sufficiente.
Bisogna capire quale app si sta scaricando, e soprattutto se/perché ha veramente bisogno di tutti i permessi che chiede.


quoto, idem per le estensioni di chrome

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^