DoubleLocker è in grado di cambiare il PIN del dispositivo e di codificare i dati della vittima, chiedendo poi un riscatto.
Fonte: ESET |
Distribuito principalmente come aggiornamento fake di Adobe Flash Player tramite siti compromessi, DoubleLocker sfrutta in modo improprio i servizi di accessibilità di Android, un classico stratagemma usato dai criminali informatici.
Il suo payload di infezione è in grado di cambiare il PIN del dipositivo, per evitare che la vittima possa accedervi, e contemporaneamente codifica i dati: una tale combinazione non era mai stata vista prima nell'ecosistema Android.
Una volta avviata, l'applicazione richiede l'attivazione del "Servizio di Google Play". Dopo aver acquisito le autorizzazioni di accesso, il malware le utilizza per attivare i diritti di amministratore del dispositivo e si imposta come applicazione Home predefinita, in entrambi i casi senza il consenso dell'utente.
Oltre ad essere un ransomware (limita l'accesso al dispositivo che infetta chiedendo un riscatto), DoubleLocker si basa anche su un particolare Trojan bancario già analizzato dai ricercatori di ESET, secondo i quali la funzionalità che consentirebbe a questo malware di sottrarre le credenziali bancarie dai sistemi delle vittime potrebbe essere aggiunta molto facilmente.
Questa funzionalità aggiuntiva trasformerebbe DoubleLocker in quello che i ricercatori di ESET definiscono come un "ransom-banker".
Commenti
Posta un commento
Che ne pensi?