DoubleLocker, malware Android in grado di rubare codici PIN e denaro
Non c’è pace per Android. Il noto team di ricercatori ESET ha annunciato di aver scoperto una nuova minaccia per il robottone verde di Google nota con il nome DoubleLocker, in grado non solo di rubare i PIN degli infetti, ma anche prelevare del denaro dai conti.
Il malware si traveste da aggiornamento di Adobe Flash Player ed è in grado di sfruttare i servizi di accessibilità del sistema, allo scopo di subentrare al suo interno e rubare le credenziali e purtroppo anche i fondi del malcapitato.
Una volta lanciata l’app, richiede l’attivazione dei permessi di accessibilità “Google Play Services”, successivamente li utilizza per avere accesso ai diritti di amministratore, impostando infine una finta applicazione come Home predefinita senza il consenso dell’utente.
Uno dei ricercatori ha affermato:
Se l’utente clicca sul pulsante Home, il ransomware viene attivato e blocca il dispositivo. Grazie all’uso del servizio di accessibilità, l’utente non capisce che premendo il tasto Home esegue il malware.
DoubleLocker è un vero e proprio ransomware individuato come “Android.BankBot.211.origin”, in grado di rubare le credenziali bancarie e non solo; può addirittura prosciugare il conto PayPal e successivamente bloccare il dispositivo e i dati per richiedere un riscatto. (fonte)
Secondo le prime ricerche degli esperti di sicurezza informatica questo nuovo ransomware nasce da una famiglia di trojan bancari conosciuti come Svpeng. Si tratta di uno dei malware più attivi e più “antichi” dell’Universo Android. Nonostante i ricercatori per la sicurezza abbiano più volte provato a limitare il trojan con aggiornamenti e patch il virus continua a colpire centinaia di utenti, aggiornando continuamente i suoi codici. Svpeng, che per anni è stato il trojan bancario più pericoloso per mobile, può rubare il nostro denaro sfruttando SMS maligni oppure può installarsi da solo nel telefono per registrare i PIN che inseriamo nell’app o nel sito della nostra banca.
Come agisce DoubleLocker
DoubleLocker è creato con il codice maligno di Svpeng ma non ha integrata la funzione per rubare i nostri dati bancari. In compenso può bloccare ogni contenuto del nostro telefono, compresi contatti, foto, video e documenti. E chiede un riscatto alla vittima per riaverli indietro. Per attaccare il telefono il ransomware sfrutta una vulnerabilità del sistema operativo Android per avere i diritti di amministrazione e quindi mettere nelle mani dell’hacker il nostro telefono. Quasi sempre il malware si nasconde dietro a una falsa richiesta di aggiornamento del software Flash Player. Se per errore installiamo il finto aggiornamento e quindi diamo il via libera al virus, il ransomware cripta i nostri dati (con l’algoritmo di crittografia AES) e cambia ogni PIN presente sui nostri servizi. In questo modo non potremo nemmeno più accedere agli account cloud per recuperare dei dati da backup. DoubleLocker richiede alle vittime un pagamento di 0,013 Bitcoin, circa 70 dollari, per riavere indietro i propri file.
