Eset es el primero en documentar DoubleLocker, un ransomware para Android que aprovecha los servicios de accesibilidad del sistema operativo para cifrar la información y bloquear los dispositivos.
La compañía dedicada a la detección de amenazas Eset, descubrió el primer ransomware que aprovecha los servicios de accesibilidad para Android, cifra la información y puede bloquear el dispositivo.
Doublelocker es el nombre del ransomware descubierto y proviene del código de un “Troyano Bancario” que utiliza con mala intención los servicios de accesibilidad del sistema operativo móvil de Google, aunque este ransomware no posee funciones relacionadas a operaciones bancarias ni habilidades para vaciar las cuentas, este sistema cuenta con herramientas que permiten extorsionar a la victima ya que puede cambia el PIN del dispositivo y seria imposible volver a usar el mismo.
“Debido a sus raíces de amenaza bancaria, DoubleLocker bien podría convertirse en lo que podemos llamar ransom-bankers. Es un malware que funciona en dos etapas. Primero trata de vaciar tu cuenta bancaria o de PayPal y luego bloquea tu dispositivo e información para solicitar el pago del rescate. Dejando las especulaciones de lado, la primera vez que vimos una versión de prueba de un ransom-banker de este tipo in the wild fue en mayo de 2017″, comentó Lukáš Štefanko, investigador de malware de Eset que descubrió a DoubleLocker.
Este malware se propaga igual que “Troyano Bancario”, generalmente se distribuye a través de una falsa versión de Adobe Flash Player, Subida a sitios comprometidos. una vez ejecutada la aplicación ésta pide la activación del servicio de accesibilidad del malware, llamado “Google Play Service” para engañar a los usuarios, que podrían creer que se trata de un servicio legítimo de Google.
Seguidamente el malware usa esos permisos para activar los derechos de administrador del equipo y se establece a sí mismo como la aplicación de inicio por defecto, en ambos casos sin el consentimiento del usuario.
“Establecerse a sí mismo como una aplicación de Inicio por defecto (un launcher) es un truco que mejora la persistencia del malware. Cada vez que el usuario hace clic en el botón Inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias al uso del servicio de accesibilidad, el usuario no sabe que ejecuta malware pulsando Inicio”, explicó Lukáš Štefanko.
Lukáš Štefanko también comentó que este es otro malware y otra razón para que los usuarios tengan soluciones de seguridad y hagan periódicamente Backup de su información.
Doublelocker es el nombre del ransomware descubierto y proviene del código de un “Troyano Bancario” que utiliza con mala intención los servicios de accesibilidad del sistema operativo móvil de Google, aunque este ransomware no posee funciones relacionadas a operaciones bancarias ni habilidades para vaciar las cuentas, este sistema cuenta con herramientas que permiten extorsionar a la victima ya que puede cambia el PIN del dispositivo y seria imposible volver a usar el mismo.
“Debido a sus raíces de amenaza bancaria, DoubleLocker bien podría convertirse en lo que podemos llamar ransom-bankers. Es un malware que funciona en dos etapas. Primero trata de vaciar tu cuenta bancaria o de PayPal y luego bloquea tu dispositivo e información para solicitar el pago del rescate. Dejando las especulaciones de lado, la primera vez que vimos una versión de prueba de un ransom-banker de este tipo in the wild fue en mayo de 2017″, comentó Lukáš Štefanko, investigador de malware de Eset que descubrió a DoubleLocker.
Este malware se propaga igual que “Troyano Bancario”, generalmente se distribuye a través de una falsa versión de Adobe Flash Player, Subida a sitios comprometidos. una vez ejecutada la aplicación ésta pide la activación del servicio de accesibilidad del malware, llamado “Google Play Service” para engañar a los usuarios, que podrían creer que se trata de un servicio legítimo de Google.
Seguidamente el malware usa esos permisos para activar los derechos de administrador del equipo y se establece a sí mismo como la aplicación de inicio por defecto, en ambos casos sin el consentimiento del usuario.
“Establecerse a sí mismo como una aplicación de Inicio por defecto (un launcher) es un truco que mejora la persistencia del malware. Cada vez que el usuario hace clic en el botón Inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias al uso del servicio de accesibilidad, el usuario no sabe que ejecuta malware pulsando Inicio”, explicó Lukáš Štefanko.
Lukáš Štefanko también comentó que este es otro malware y otra razón para que los usuarios tengan soluciones de seguridad y hagan periódicamente Backup de su información.
UN.-
Para más información, ingrese al portal de noticias de ESET llamado WeLiveSecurity en: https://www.welivesecurity.com/la-es/2017/10/13/doublelocker-ransomware-android-accesibilidad/
Para más información, ingrese al portal de noticias de ESET llamado WeLiveSecurity en: https://www.welivesecurity.com/la-es/2017/10/13/doublelocker-ransomware-android-accesibilidad/
COMENTARIOS