Quando si pensa di avere già catalogato tutte le varianti possibili di malware, ecco che qualche black hat anonimo, in un posto sconfinato del mondo, ci fa ricredere. È il caso di DoubleLocker, il nuovo malware per Android, che viene distribuito tramite siti compromessi che propongo un aggiornamento di Adobe Flash Player, programma che da tempo non è più supportato da questo sistema operativo.

Scoperto da ESET, la più grande casa di software per la sicurezza digitale dell’Unione Europea, come Android/DoubleLocker.A, il ransomware è basato su un particolare Tojan bancario. Nonostante questo, DoubleLocker non avrebbe le funzionalità dedicate a sottrarre le credenziali bancarie degli utenti, bensì, è munito di due armi fondamentali per storcere denaro alle vittime: può cambiare il PIN per rendere inaccessibile il dispositivo e può anche crittare i dati presenti in esso, una combinazione mai vista prima nell’ecosistema Android.

Un malware senza precedenti, il DoubleLocked, che è capace di bloccare i dispositivi e di cifrare i dati per poi chiedere un ricatto in Bitcoin.
Esempio di file cifrati da DoubleLocked. Credits: www.blog.eset.ie

La preoccupazione maggiore però, è che secondo gli esperti, queste funzionalità che permetterebbero di rubare le credenziali bancarie dai sistemi delle vittime potrebbero essere aggiunte molto facilmente tramite un update.

Lukáš Štefanko, ricercatore di ESET, nonché scopritore del malware, ha commentato a riguardo:

“Dato le sue radici di banking malware, DoubleLocker potrebbe essere trasformato in ciò che verrebbe definito come “ransom-banker”. Malware a due stadi che cerca prima di cancellare il tuo conto bancario o PayPal e successivamente blocca il tuo dispositivo e i dati per richiedere un riscatto. Speculazioni a parte, avevamo già individuato una versione di prova di un ransom-banker a maggio del 2017”.

Il modus operandi di DoubleLocker

L’applicazione malevola, una volta installata, si procura le credenziali dell’utente mascherandosi come Google Play Service. In questo modo è capace di autonominarsi amministratore del sistema e launcher, così ha il via libera per cambiare il PIN del dispositivo. Il nuovo codice non viene né memorizzato né inviato al server di controllo come accade di solito, ma è generato casualmente, in modo da essere impossibile da recuperare.

Un malware senza precedenti, il DoubleLocked, che è capace di bloccare i dispositivi e di cifrare i dati per poi chiedere un ricatto in Bitcoin.
Messaggio di DoubleLocked. Credits: www.blog.eset.ie

Una volta resettato il PIN e quindi tagliato fuori l’utente, il malware cifra tutti i dati presenti nella memoria interna (di solito la cartella sdcard) con lo standard di cifratura Advanced Encryption Standard (AES), il robusto algoritmo di cifratura a blocchi usato dal governo degli Stati Uniti, pressoché impossibile da forzare; mentre i file sono salvati con estensione “.cryeye”. Successivamente, viene richiesto un riscatto di 0.0.130 Bitcoin, l’equivalente di circa 50 euro, entro 24 ore, per recuperare il controllo del dispositivo e riavere indietro tutti i dati.

Come debellare il malware

ESET assicura che i principali software antivirus prevengono l’infezione da DoubleLocker, anche se ancora non esistono informazioni sulla rilevazione del malware da parte di Google tramite Google Play Protect.

Nel caso l’utente avesse installato un software di gestione remota in grado di resettare il PIN, può reimpostarlo senza dover ricorrere al reset del dispositivo alle condizioni di fabbrica, seconda azione effettiva contro la minaccia. Inoltre, chi ha un dispositivo con permessi di root può facilmente reimpostare il PIN tramite Android Debug Bridge (ADB).

Un malware senza precedenti, il DoubleLocker, che è capace di bloccare i dispositivi e di cifrare i dati per poi chiedere un ricatto in Bitcoin.
Funzionamento dell’ADB. Credits: @mposchenrider on Twitter

La miglior arma contro questi software malevoli è indubbiamente la prevenzione. Si raccomanda, quindi, di scaricare esclusivamente da fonti sicure come il Play Store o l’Amazon App Store. DoubleLocker si è diffuso, come detto prima, grazie a un aggiornamento di Adobe Flash Player non più supportato da Android, informazione che, visti i numeri dei dispositivi infetti, era sconosciuta da moltissimi utenti.

LASCIA UN COMMENTO