Az ESET kutatói felfedezték az első olyan zsarolóvírust, amely az Android hozzáférési szolgáltatásain keresztül támad
2017. október 17.
Az ESET kutatói fedezték fel azt a DoubleLocker névre keresztelt, újszerű támadási megoldásokat alkalmazó androidos kártevőt, amely két különféle hatékony eszközt is bevet annak érdekében, hogy képes legyen sikeresen megfertőzni az áldozatok mobilkészülékeit, és pénzt zsaroljon ki tőlük.
A vírus az ESET által korábban bemutatott BankBot kártevő alapjaira épül, azonban hiányoznak belőle a felhasználók banki adatait összegyűjtő és fiókok törléséért felelős korábbi funkciók. Újdonság viszont, hogy képes megváltoztatni a PIN kódot és titkosítja a készüléken tárolt adatokat.
„A DoubleLocker az Android rendszer hozzáférési szolgáltatásaival kapcsolatos funkciók rosszindulatú felhasználása révén működik, amely népszerű módszer a kiberbűnözők körében. A kártevő megváltoztatja az eszköz PIN kódját, megakadályozva, hogy a felhasználók hozzáférjenek készülékeikhez, majd titkosítja az eszközön található adatokat. Ez az együttes kombináció ebben a formában korábban még nem bukkant fel androidos környezetben” – mondta a DoubleLocker kártevőt felfedező Lukáš Štefanko, az ESET kártevőkutatója.
A DoubleLocker a BankBot kártevőhöz hasonló módon terjed: fertőzött weboldalakról letölthető hamis Adobe Flash Player programként. Az indítás után az alkalmazás arra kéri a felhasználót, hogy engedélyezzen egy „Google Play szolgáltatást”, majd az engedélyek megadása után adminisztrátori jogosultságot ad az alkalmazásnak, és az alapértelmezett home gombhoz tartozó alkalmazásnak állítja be magát, anélkül, hogy a felhasználó ennek tudatában lenne. Így amikor a felhasználó a home gombra kattint, a zsarolóvírus aktivizálódik, és az eszköz újra lezárásra kerül.
Hogyan távolítsuk el a kártevőt?
A kiberbűnözők üzenetükben arra figyelmeztetik a felhasználót, hogy az alkalmazás törlése vagy blokkolása után már soha nem kapják vissza adataikat. Azonban azok a felhasználók, akik minőségi mobilvédelmi megoldást használnak - mint például az ESET Mobile Security -, védve vannak a kártevőtől.
Ilyen mobilvédelmi megoldások hiányában a DoubleLocker eltávolításához a következő lépések megtétele szükséges:
- Azoknál az eszközöknél, amelyek nincsenek rootolva (azaz a felhasználó teljes hozzáféréssel rendelkezik a készülék minden funkciójához), vagy nem fut rajtuk mobileszköz kezelő program, a PIN kód visszaállítása és a zároló képernyő eltüntetése csak a gyári beállítások visszaállítása révén lehetséges. Magyarán minden korábbi személyes adatunk és beállításunk elveszhet, illetve telepítés előtti alaphelyzetbe kerül.
- Ha az eszközt rootolták, a felhasználó az ABD-n keresztüli kapcsolat révén eltávolíthatja a PIN kódot tartalmazó fájlt. Ehhez azonban engedélyezni kell a hibakeresés funkciót (Beállítások -> Fejlesztői funkciók -> USB-hibakeresés).
– Miután a PIN kódot és a zárolt képernyőt sikerült eltávolítani, a felhasználó már hozzáférhet készülékéhez, majd biztonságos módban visszavonhatja az adminisztrátori jogokat az alkalmazástól, és törölheti azt. Néhány esetben újraindítás is szükséges.
A kártevőről további információ a WeLiveSecurity.com oldalon olvasható.
Kapcsolódó cikkek
- Új androidos kártevő veszélyezteti mobiljainkat
- Tippek a vállalatok és munkavállalóik tudatosabb felkészítéséhez
- Idén is megrendezésre kerül az Európai Kiberbiztonsági Hónap
- A BankBot trójai újra megjelent a Google Play áruházban
- Játéknak álcázott veszélyes banki trójai program tért vissza a Google Play áruházba
- Nagy internetszolgáltatókat vontak be a kártevők terjesztésébe
- ESET: Nagy internetszolgáltatók is érintettek lehetnek a legújabb FinFisher megfigyelési akciókban
- A Trend Micro első féléves jelentése a kiberbiztonsági befektetések fontosságára mutatott rá
- Milliárdos károkat okozott a kiberbűnözés az év első felében
- A kiberbűnözők fertőzött weboldalakat használnak a kriptovaluták bányászatára