Investigadores de ESET han detectado el primer ransomware para Android que hace mal uso de los servicios de accesibilidad. Además de cifrar los datos, también bloquea el dispositivo.

Detectado por ESET como Android/DoubleLocker, el ransomware está basado en los fundamentos de un troyano bancario, conocido por hacer mal uso de los servicios de accesibilidad del sistema operativo Android. Sin embargo, DoubleLocker no tiene funciones relacionadas con la recolección de credenciales bancarias de los usuarios y no vacía sus cuentas. En su lugar, contiene dos poderosas herramientas para extorsionar a sus víctimas.

DoubleLocker puede cambiar el PIN del dispositivo, evitando que las víctimas acceden a sus dispositivos y también cifra los datos en él, una combinación que no había sido vista en el ecosistema Android.

“Dado sus raíces de malware bancario, DoubleLocker puede convertirse en los llamados rasom-bankers. Un malware de dos estados que primero intenta vaciar tu cuenta bancaria o de PayPaly subsecuentemente bloquea el dispositivo y los datos para pedir un rescate… Dejando de lado las especulaciones, detectamos una versión de prueba de este ransom-banker hace un tiempo como por mayo del 2017,” comentó Lukáš Štefanko, el investigador de malware de ESET que descubrió DoubleLocker.

Distribución

DoubleLocker se dispersó de la misma manera en que su padre bancario lo hizo. Es distribuido principalmente como un Flash Player falso a través de sitios web comprometidos.

Una vez ejecutada, la aplicación pide la habilitación del servicio de accesibilidad del malware, llamado “Google Play Service”. Después de que el malware obtiene los permisos de accesibilidad, los utiliza para activar los permisos de administrador del dispositivo y colocarse a sí misma como la aplicación principal del Home, en ambos casos sin consentimiento del usuario.

“Colocándose como la aplicación por defecto del Home -un inicializador- es un truco que mejora la persistencia del malware. Siempre que el usuario da clic en el botón Home, el malware se activa y el dispositivo se bloquea de nuevo. Gracias a utilizar el servicio de accesibilidad, el usuario no sabe que se ha ejecutado un malware por pulsar Home,” explicó Štefanko.

Bloqueado del dispositivo y los datos

DoubleLocker, una vez ejecutado en el dispositivo, genera dos razones para que las víctimas paguen.

Primero, cambia el PIN del dispositivo, evitando que la víctima lo utilice. El nuevo PIN es un valor aleatorio que ni el atacante conoce ni guarda o envía a algún lugar, por lo que es imposible para el usuario o el experto en seguridad recuperarlo. Después de que el rescate se paga, el atacante puede reiniciar el PIN de manera remota y desbloquear el dispositivo.

Segundo, DoubleLocker cifra todos los archivos del almacenamiento primario del dispositivo. Utiliza cifrado AES, agregando la extensión “.cryeye”. “El cifrado es implementado propiamente, lo que significa, desafortunadamente, que no hay manera de recuperar los datos sin una llave de descifrado por parte de los atacantes,” dijó Štefanko.

El rescate está tasado en 0.0130 BTC (alrededor de 54 dólares al momento) y el mensaje resalta que debe ser pagado en 24 horas. Sin embargo, si el rescate no es pagado, la información continuará cifrada y no será borrada.

¿Cómo deshacerse de DoubleLocker?

En la nota de rescate, el usuario es advertido de no remover o bloquear DoubleLocker: “Sin [el software], usted no será capaz de obtener sus datos originales”.

Para prevenir la eliminación no deseada del “software”, los ladrones recomiendan deshabilitar el antivirus.

“Tal consejo es irrelevante: todos con una solución de seguridad de calidad instalada en sus dispositivos están a salvo de DoubleLocker,” explicó Štefanko.

La única opción viable para limpiar el dispositivo de DoubleLocker es realizando un reset de fábrica.

Sin embargo, para dispositivo rooteados, existe un método para obtener el PIN pasado sin realizar un reinicio de fábrica. Para que el método funcione, el dispositivo tiene que estar en modo de depuración antes de que el ransomware se active.

Si estas condiciones se dan, entonces el usuario puede conectar el dispositivo a través de ADB y eliminar el archivo donde el PIN es almacenado por Android. Esta operación desbloquea la pantalla para que el usuario pueda acceder a su dispositivo. Después, en modo seguro el usuario puede desactivar los permisos de administrador para el malware y desinstalarlo. En algunos casos, es necesario reiniciar el dispositivo.

En cuanto a la información almacenada en el dispositivo, no hay forma de recupérala, como se mencionó anteriormente.

“DoubleLocker funciona como otra razón para que los usuarios tengan una solución de seguridad de calidad instalada, y que realicen respaldos de manera regular,” concluyó Štefanko.