Вымогатель DoubleLocker: злобный потомок опасного банковского троянца для Android

В июле исследователи обнаружили новый банковский троян, атакующий Android-устройства. Основной метод распространения, получивший название Android.BankBot.211.origin, заключался в ложных загрузках Adobe Flash Player и других подобных «известных» программ. После загрузки Android.BankBot.211.origin будет использовать «Службу специальных возможностей» Android-устройства для управления мобильными устройствами и кражи конфиденциальной информации о клиентах банка. Как и в случае со многими формами вредоносного кода, злоумышленники всегда стремятся улучшить его, и Android.BankBot.211.origin не является исключением. В отчете компании ESET, занимающейся кибербезопасностью, исследователи подробно описали новую обнаруженную в дикой природе программу-вымогатель, которая атаковала устройства Android. Интересно то, как исследователи обнаружили, что это был вариант банковского троянца Android.BankBot.211.origin. Вирус, получивший название DoubleLocker ransomware, распространяется через вредоносные файлы Adobe Flash Player. Однако на этом сходство с исходным вредоносным ПО начинает заканчиваться, поскольку программа-вымогатель (что неудивительно) выполняет другую функцию, чем Android.BankBot.211.origin.

DoubleLocker, будучи вирусом-вымогателем, стремится предотвратить доступ к устройству жертвы. Во-первых, он меняет PIN-код зараженного телефона или планшета Android, чтобы владелец устройства не имел возможности немедленного доступа к данным. Во-вторых, программа-вымогатель шифрует все файлы в основном каталоге хранилища с помощью шифрования AES. То, как программа-вымогатель атакует систему, не позволяет расшифровать ваши файлы, вместо этого заставляя вас платить выкуп в размере 0,0130 биткойнов, чтобы получить их обратно.

Единственными способами удаления программы-вымогателя DoubleLocker с вашего устройства является либо жесткий сброс настроек, либо сложный метод, зависящий от 1) наличия у вашего Android привилегий root и 2) активации режима отладки до заражения. Как говорит Лукаш Штефанко, исследователь, впервые обнаруживший DoubleLocker (перефразируя ESET), вы должны:

Подключитесь к устройству через ADB и удалите системный файл, в котором Android хранит PIN-код. Эта операция разблокирует экран, чтобы пользователь мог получить доступ к своему устройству. Затем, работая в безопасном режиме, пользователь может деактивировать права администратора устройства для вредоносного ПО и удалить его. В некоторых случаях требуется перезагрузка устройства.

К сожалению, реальность программы-вымогателя DoubleLocker заключается в отсутствии опций, которые не приводят к полной потере файлов. Урок здесь двоякий. Во-первых, всегда будьте осторожны с файлами, которые вы запускаете, и веб-сайтами, которые вы просматриваете. Во-вторых, регулярно создавайте резервные копии всех конфиденциальных данных с ваших устройств, чтобы в случае неожиданного заражения программой-вымогателем хакеры не использовали ваши данные заложников в качестве рычага воздействия.