La compañía de seguridad informática ESET ha detectado el ransomware ‘DoubleLocker’ el cual ataca a los sistemas operativos Android. Este virus puede cambiar el PIN del dispositivo, evitando que el usuario pueda tener acceso a él, además de encriptar los datos que encuentra para pedir un rescate monetario y desbloquear el dispositivo móvil.
Lukas Stefanko, investigador de malware de ESET, fue el responsable de detectar DoubleLocker, y afirma que ha sido puesto a prueba desde mayo de 2017.
La distribución de DoubleLocker se hace principalmente como un reproductor de Adobe Flash falso a través de sitios web inseguros. Una vez lanzado, la app solicita la activación del servicio de accesibilidad del malware, denominado “Google Play Services”.
Una vez que el malware obtiene los permisos de accesibilidad, los utiliza para activar los derechos de administrador del dispositivo y configurarse como la aplicación Home predeterminada, en ambos casos sin el consentimiento del usuario.
“Configurarse como una app predeterminada es un truco que mejora la persistencia del DoubleLocker. Cada vez que el usuario hace clic en el botón de inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias a la utilización del servicio de accesibilidad, el usuario no sabe que al activar Inicio activa el malware”, explicó Stefanko.
Una vez ejecutado en el dispositivo, DoubleLocker cambia el PIN del dispositivo. El nuevo PIN está configurado a un valor aleatorio que los hackers no almacenan ni envían a ningún lugar, por lo que es imposible que el usuario o un experto en seguridad lo recupere. Luego de pagar el rescate, el hacker puede restablecer de forma remota el PIN y desbloquear el dispositivo, sin que haya una garantía de que esto ocurra.
