Se trata del ransomware llamado DoubleLocker. Conozca cómo se transmite, cómo opera, cómo prevenirlo y cómo lidiar con él.
Investigadores de Eset, compañía dedicada a la seguridad informática y detección de amenazas, descubrieron el ransomware llamado DoubleLocker, que además de cifrar la información para evitar que el usuario pueda acceder a ella, es capaz de bloquear completamente el dispositivo.
Eset detectó el programa que está basado en el código de un troyano bancario, que utiliza con fines maliciosos los servicios de accesibilidad del sistema operativo móvil de Google. Si bien no cuenta con funciones relacionadas a la recolección de credenciales bancarias y el vaciado de cuentas, a esta amenaza extorsiona a las víctimas en busca de dinero. La misma puede cambiar el PIN del dispositivo, y así evitar que las víctimas accedan al mismo, y también cifrar la información que encuentra en él. Una combinación que no se ha visto hasta ahora Android.
Lukáš Štefanko, investigador que descubrió a este programa malicioso, aseguró que "debido a sus raíces de amenaza bancaria, DoubleLocker bien podría convertirse en lo que podemos llamar ransom-bankers. Es un malware que funciona en dos etapas. Primero trata de vaciar tu cuenta bancaria o de PayPal y luego bloquea tu dispositivo e información para solicitar el pago del rescate".
¿CÓMO SE TRANSMITE?
DoubleLocker se propaga igual que el troyano en el que está basado. Se distribuye generalmente a través de una versión falsa de Adobe Flash Player, subida a sitios web cuya seguridad no está certificada. Una vez ejecutada, la aplicación solicita la activación del servicio de accesibilidad del malware, llamado "Google Play Service" para engañar a los usuarios, que podrían creer que se trata de un servicio legítimo de Google.
Cuando inocentemente el usuario autoriza el acceso, el malware usa los permisos para activar los derechos de administrador del dispositivo y se establece a sí mismo como aplicación de Inicio (Home) por defecto, en ambos casos sin el consentimiento del usuario.
Una vez ejecutado en el dispositivo, DoubleLocker expone a la víctima dos razones para pagar el rescate, y de ahí viene su nombre (desde ESET no se recomienda realizar el pago en ningún caso):
Primero, cambia el PIN del equipo, de manera que la víctima no puede usarlo. El nuevo código PIN se establece en base a un valor aleatorio, que no se almacena en el dispositivo ni se envía a otro lado, por lo que es imposible que el usuario o un experto en seguridad lo recupere. Luego de que se hace el pago, el atacante puede restablecer el PIN remotamente y desbloquear el dispositivo.
Segundo, DoubleLocker cifra todos los archivos del directorio principal de almacenamiento.
El monto del rescate solicitado es 0.0130 BTC (aproximadamente 54 dólares) y el mensaje remarca que se debe pagar en el transcurso de 24 horas. En caso de no realizar el pago, los datos permanecerán cifrados pero no se borrarán, por lo que un backup sería de gran utilidad.
¿CÓMO SOLUCIONAR EL PROBLEMA?
El ransomware advierte al usuario que no intente eliminar o bloquear a DoubleLocker: "Sin [el software], nunca podrás recuperar tus archivos originales". Los cibercriminales incluso recomiendan deshabilitar el software antivirus para prevenir que el usuario elimine la amenaza. "Este consejo es irrelevante: quienes tengan una solución de seguridad de calidad instalada en sus dispositivos estarán a salvo de DoubleLocker", comentó Štefanko.
A quienes no tengan una solución de seguridad y necesiten limpiar este ransomware de un dispositivo, los expertos recomiendan:
Si el dispositivo no está rooteado y no tiene ninguna solución de administración de dispositivos móviles capaz de restablecer el PIN, la única manera de eliminar el bloqueo de pantalla es a través de una restauración a los valores de fábrica (factory reset). En cambio, si el dispositivo está rooteado, el usuario puede conectarse a él a través de Android Debug Bridge (ADB) y eliminar el archivo en el que se almacenó el PIN.
Así, se eliminará el PIN o contraseña de bloqueo de pantalla y el usuario podrá acceder al dispositivo. Luego, operando en modo seguro, puede desactivar los derechos de administrador del malware y desinstalarlo. En algunos casos, se necesita reiniciar el equipo.
Los expertos señalan que por la existencia de programas como estos es recomendable tener una solución de seguridad de calidad instalada en el teléfono y hacer backup de su información regularmente.