Android szolgáltatásain keresztül támadó zsarolóvírus
2017.10.25
A DoubleLocker az Android rendszer hozzáférési szolgáltatásaival kapcsolatos funkciók rosszindulatú felhasználása révén működik, amely népszerű módszer a kiberbűnözők körében.
A kártevő megváltoztatja az eszköz PIN kódját, megakadályozva, hogy a felhasználók hozzáférjenek készülékeikhez, majd titkosítja az eszközön található adatokat. Ez az együttes kombináció ebben a formában korábban még nem bukkant fel androidos környezetben” – mondta a DoubleLocker kártevőt felfedező Lukáš Štefanko, az ESET kártevőkutatója.
A DoubleLocker a BankBot kártevőhöz hasonló módon terjed: fertőzött weboldalakról letölthető hamis Adobe Flash Player programként. Az indítás után az alkalmazás arra kéri a felhasználót, hogy engedélyezzen egy „Google Play szolgáltatást”, majd az engedélyek megadása után adminisztrátori jogosultságot ad az alkalmazásnak, és az alapértelmezett home gombhoz tartozó alkalmazásnak állítja be magát, anélkül, hogy a felhasználó ennek tudatában lenne. Így amikor a felhasználó a home gombra kattint, a zsarolóvírus aktivizálódik, és az eszköz újra lezárásra kerül.
Hogyan távolítsuk el a DoubleLocker kártevőt?
A kiberbűnözők üzenetükben arra figyelmeztetik a felhasználót, hogy az alkalmazás törlése vagy blokkolása után már soha nem kapják vissza adataikat. Azonban azok a felhasználók, akik minőségi mobilvédelmi megoldást használnak - mint például az ESET Mobile Security -, védve vannak a kártevőtől. Ilyen mobilvédelmi megoldások hiányában a DoubleLocker eltávolításához a következő lépések megtétele szükséges:
- Azoknál az eszközöknél, amelyek nincsenek rootolva (azaz a felhasználó teljes hozzáféréssel rendelkezik a készülék minden funkciójához), vagy nem fut rajtuk mobileszköz kezelő program, a PIN kód visszaállítása és a zároló képernyő eltüntetése csak a gyári beállítások visszaállítása révén lehetséges. Magyarán minden korábbi személyes adatunk és beállításunk elveszhet, illetve telepítés előtti alaphelyzetbe kerül.
- Ha az eszközt rootolták, a felhasználó az ABD-n keresztüli kapcsolat révén eltávolíthatja a PIN kódot tartalmazó fájlt. Ehhez azonban engedélyezni kell a hibakeresés funkciót (Beállítások -> Fejlesztői funkciók -> USB-hibakeresés).
- Miután a PIN kódot és a zárolt képernyőt sikerült eltávolítani, a felhasználó már hozzáférhet készülékéhez, majd biztonságos módban visszavonhatja az adminisztrátori jogokat az alkalmazástól, és törölheti azt. Néhány esetben újraindítás is szükséges.
A kártevőről további információ a WeLiveSecurity.com oldalon olvasható.