Ransomware DoubleLocker slaat op 2 fronten toe
Een nieuwe vorm van ransomware versleutelt niet alleen de gegevens op een getroffen Android-apparaat, maar wijzigt vervolgens ook zelf de pincode. Bovendien gebruikt het toegangsdiensten voor zichzelf.
© CC0 - Pixabay.com
CC0 - Pixabay.com
DoubleLocker werd in augustus gespot door beveiliger ESET. Volgens ESET combineert deze nieuwe ransomware 3 aspecten en is daardoor “bijzonder gevaarlijk.”
De ransomware versleutelt data, maar het kan ook zelf een pincode resetten. En het zorgt voor toegangsdiensten voor zichzelf. Die laatste functionaliteit dankt DoubleLocker aan de banking-Trojan Androi.Bank.bot.211, waar deze ransomware voor een groot deel op gebaseerd is. Deze malware misbruikt toegangsdiensten om de controle te krijgen over een besmet apparaat.
Betalen of niet?
De ransom is niet erg hoog, omgerekend rond de 55 dollar. En wie dat betaalt, krijg remote een reset van de pincode.
Maar betalen is niet per se nodig. Een factory reset lost eveneens het probleem op van de pincode, maar verwijdert wel alle data die op het getroffen apparaat stond.
Wie echter een rooted apparaat heeft waarvan debugging-functionaliteit aan stond in de setting, voor de besmetting, kan de pincode terughalen zonder een factory reset. De gebruiker kan het apparaat aansluiten op de ADB en het bestand verwijderen waarin Android de pincode heeft opgeslagen. Het scherm wordt dan vrijgegeven waardoor de gebruiker toegang krijgt en in veilige modus de admin-rechten van de malware kan uitzetten.
De besmetting verliep tot nu toe via een nep-versie van Adobe Flash player. Vervolgens wordt een nep-versie van "Google Play Service" geactiveerd via de toegangsdiensten van de malware. Daarbij is geen sprake van het misbruik van lekken. DoubleLocker maakt gewoon gebruik van de mogelijkheden van het systeem zelf.
Bestanden worden versleuteld in de primaire opslagdirectory op het apparaat. Besmetting is te herkennen aan bestanden met de extensie .cryeye.
Zodra DoubleLocker de toegangspermissies heeft veilig gesteld, kan hij admin-rechten verkrijgen voor het apparaat. Vervolgens stelt de ransomware zichzelf in als de default Home-applicatie. Als de gebruiker op de Home-knop drukt, wordt de ransomware geactiveerd en verandert die de pincode in een nieuwe random code die niet op het apparaat wordt bewaard en ook niet naar elders wordt verstuurd. Daardoor is het bijzonder moeilijk de pin zelf terug te halen.
Meer AG Connect?
Altijd op de hoogte blijven van het laatste IT-nieuws? Volg ons op Twitter, like ons op Facebook of abonneer je op onze nieuwsbrief.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee