Tel: (21) 3852-7675 | (21) 3852-7674
falecom@hatikva.com.br
Chamado Técnico
Grupo HatikvaGrupo HatikvaGrupo HatikvaGrupo Hatikva
  • Home
  • Empresa
    • Hatikva Informática
    • Hatikva Software
  • Soluções
    • Governança em Tecnologia
    • Service desk e Field service
    • Segurança e Controle de Acesso
    • Sistemas e Aplicações
  • Cases
  • Parceiros
  • Conteúdo
    • Blog
    • Na Mídia
    • Promocional
    • Downloads
      • Acesso Remoto
      • Anti-Virus
      • Bate Papo
      • Conversores
      • Ferramentas
        • Java
      • Navegadores
      • Utilitários
      • Verificações
  • Atendimento
    • Fale Conosco
    • Trabalhe Conosco
    • Suporte

DoubleLocker: ransomware para Android explora os serviços de acessibilidade

    Home Blog DoubleLocker: ransomware para Android explora os serviços de acessibilidade
    NextPrevious

    DoubleLocker: ransomware para Android explora os serviços de acessibilidade

    By grupohatikva | Blog | Comments are Closed | 2 abril, 2019 | 0

    Pesquisadores de segurança da ESET descobriram o primeiro ransomware que se aproveita dos serviços de acessibilidade para Android. Além de criptografar as informações, essa ameaça é capaz de bloquear o dispositivo.

    As soluções da ESET o detectam como Android/DoubleLocker.A e está no código de um trojan bancário, conhecido por utilizar para fins maliciosos os serviços de acessibilidade do sistema operacional móvel do Google. Embora não tenha funções relacionadas à coleta de credenciais bancárias e ao esvaziamento de contas, essa ameaça possui duas ferramentas que permitem extorquir as vítimas em busca de dinheiro.

    DoubleLocker pode alterar o PIN do dispositivo e, assim, impedir que as vítimas o acessem, e também criptografa as informações encontradas no dispositivo. Uma combinação que até agora não foi vista no Android.

    “Por ser originalmente criado como uma ameaça bancária, o DoubleLocker pode tornar-se o que podemos chamar de ransom-bankers. É um malware que funciona em duas etapas: primeiro, ele tenta esvaziar sua conta bancária ou PayPal e, em seguida, bloqueia seu dispositivo e suas informações para solicitar o pagamento do resgate. Deixando as especulações de lado, a primeira vez que vimos uma versão de teste de um ransom-bankerdeste tipo foi em maio de 2017”, comentou Lukáš Štefanko, pesquisador de malware da ESET que descobriu o DoubleLocker.

    Distribuição

    O DoubleLocker se propaga exatamente igual ao trojan no qual se baseia. Geralmente, é distribuído por meio de uma versão falsa do Adobe Flash Player, carregada em sites comprometidos.

    Uma vez executado, o aplicativo solicita a ativação do serviço de acessibilidade do malware, chamado “Google Play Service” para enganar os usuários, que podem acreditar que é um serviço legítimo do Google. Depois que o malware obtém as permissões de acessibilidade, ele as utiliza para ativar os direitos de administrador do dispositivo e se estabelece como o aplicativo iniciador padrão, em ambos os casos sem o consentimento do usuário.

     

    “Estabelecer-se como um iniciador padrão é um truque que melhora a persistência do malware. Toda vez que o usuário clica no botão Iniciar, o ransomware é ativado e o dispositivo está bloqueado novamente. Graças ao uso do serviço de acessibilidade, o usuário não sabe que ele está executando o malware pressionando Iniciar”, explica Štefanko.

    Uma vez executado no dispositivo, o DoubleLocker dá à vítima duas razões para pagar o resgate, e daí vem o nome dele (a ESET nunca recomenda fazer o pagamento):

    • Primeiro, muda o PIN do equipamento, para que a vítima não possa usá-lo. O novo código PIN é definido com base em um valor aleatório, que não está armazenado no dispositivo e nem foi enviado para nenhum local de armazenamento, por isso é impossível para o usuário ou um especialista de segurança recuperá-lo. Após o pagamento, o atacante pode redefinir o PIN remotamente e desbloquear o dispositivo.
    • Em segundo lugar, o DoubleLocker criptografa todos os arquivos do diretório de armazenamento principal.

    O valor do resgate solicitado é de 0,0130 BTC (aproximadamente US$ 54) e a mensagem indica que deve ser pago em 24 horas. Caso não efetue o pagamento, os dados permanecerão criptografados, mas não serão apagados, de modo que ter um backup dos arquivos pode ser útil.

    Figura 1: Arquivos criptografados em um dispositivo infectado com o DoubleLocker.

    Figura 2: Mensagem de pedido de resgate do DoubleLocker.

    “Estabelecer-se como um iniciador padrão (um launcher) é um truque que melhora a persistência do malware. Toda vez que o usuário clica no botão Iniciar, o ransomware é ativado e o dispositivo é bloqueado novamente. Graças ao uso do serviço de acessibilidade, o usuário não sabe que ele está executando o malware pressionando Iniciar”, explicou Lukáš Štefanko.

    Bloqueio do dispositivo e das informações

    Uma vez executado no dispositivo, o DoubleLocker dá à vítima duas razões para pagar o resgate, e daí vem o nome dele (a ESET nunca recomenda fazer o pagamento):

    Primeiro, muda o PIN do equipamento, para que a vítima não possa usá-lo. O novo código PIN é definido com base em um valor aleatório, que não está armazenado no dispositivo e nem foi enviado para nenhum local de armazenamento, por isso é impossível para o usuário ou um especialista de segurança recuperá-lo. Após o pagamento, o atacante pode redefinir o PIN remotamente e desbloquear o dispositivo.

    Em segundo lugar, o DoubleLocker criptografa todos os arquivos da unidade de armazenamento principal. Para isso, utiliza o algoritmo AES, adicionando a extensão “.cryeye”.

    O valor do resgate solicitado é de 0,0130 BTC (aproximadamente US$ 54) e a mensagem indica que deve ser pago em 24 horas. Caso não efetue o pagamento, os dados permanecerão criptografados, mas não serão apagados, de modo que ter um backup dos arquivos pode ser útil.

    Como se livrar do DoubleLocker?

    No pedido de resgate, o usuário é advertido a não tentar remover ou bloquear o DoubleLocker: “Sem [o software], você nunca poderá recuperar seus arquivos originais”. Os cibercriminosos até recomendam a desativação do antivírus para evitar que o usuário elimine a ameaça.

    “Este conselho é irrelevante, pois qualquer pessoa com uma solução de segurança de qualidade instalada em seu dispositivo permanecerá segura com relação ao DoubleLocker”, afirmou Lukáš Štefanko.

    Para aqueles que não têm uma solução de segurança e precisam tirar o ransomware do dispositivo, os pesquisadores da ESET recomendam:

    Se o dispositivo não estiver roteado e não tiver uma solução de gerenciamento de dispositivo móvel capaz de redefinir o PIN, a única maneira de limpar o bloqueio de tela é com a restauração das configurações de fábrica (factory reset). As opções para fazer isso dependem da versão do Android, mas geralmente pode ser encontrada em Configurações → Backup de segurança e restabelecimento → Restabelecer valores de fábrica.

    No entanto, se o dispositivo estiver roteado, o usuário pode se conectar a ele pelo Android Debug Bridge (ADB) e excluir o arquivo no qual o PIN foi armazenado. Para que isso funcione, o dispositivo deve estar com o debugging ativado: Configurações → Opções do desenvolvedor → USB Debugging.

    Isso removerá o PIN ou senha de bloqueio de tela e o usuário poderá acessar o dispositivo. Em seguida, operando no modo de segurança, é possível desativar os direitos de administrador do malware e desinstalá-lo. Em alguns casos, o dispositivo precisa ser reiniciado.

    “O DoubleLocker é mais uma razão para os usuários de dispositivos móveis instalarem uma solução de segurançade qualidade e realizarem o backup de suas informações regularmente”, concluiu Lukáš Štefanko.

    Compartilhe:

    • Clique para compartilhar no Twitter(abre em nova janela)
    • Clique para compartilhar no Facebook(abre em nova janela)
    • Clique para compartilhar no LinkedIn(abre em nova janela)
    • Clique para compartilhar no WhatsApp(abre em nova janela)
    • Clique para imprimir(abre em nova janela)

    Relacionado

    android, doublelocker, ransomware, virus

    grupohatikva

    More posts by grupohatikva

    Related Post

    • Android ganha 8,4 mil malwares por dia; saiba como proteger seu celular

      By grupohatikva | Comments are Closed

      Android ganha 8,4 mil malwares por dia; saiba como proteger seu celular Segundo informou a empresa de segurança G Data, cerca de 8,4 mil novos malwares para o sistema operacional Android são descobertos diariamente, o equivalente a um aRead more

      Compartilhe:

      • Clique para compartilhar no Twitter(abre em nova janela)
      • Clique para compartilhar no Facebook(abre em nova janela)
      • Clique para compartilhar no LinkedIn(abre em nova janela)
      • Clique para compartilhar no WhatsApp(abre em nova janela)
      • Clique para imprimir(abre em nova janela)

    • Novo trojan brasileiro permite hackers acessarem seu celular (sem que você note)

      By grupohatikva | Comments are Closed

      Alerta é da Kaspersky Lab. Chamado de BRata, malware de acesso remoto ataca apenas aparelhos Android Foto: Shutterstock Pesquisadores da Kaspersky descobriram um novo malware de acesso remoto (RAT) chamado de “BRata”, abreviação para “Brazilian RAT forRead more

      Compartilhe:

      • Clique para compartilhar no Twitter(abre em nova janela)
      • Clique para compartilhar no Facebook(abre em nova janela)
      • Clique para compartilhar no LinkedIn(abre em nova janela)
      • Clique para compartilhar no WhatsApp(abre em nova janela)
      • Clique para imprimir(abre em nova janela)

    • Versão hackeada do CCleaner foi baixada por mais de 2 milhões de usuários

      By grupohatikva | Comments are Closed

      Código malicioso foi adicionado ao aplicativo de manutenção. Expectativa de hackers era usar sequestrador de dados e gravador de digitação. CCleaner, popular programa de otimização de PCs com Windows, foi alvo de um ataque hacker. CompradoRead more

      Compartilhe:

      • Clique para compartilhar no Twitter(abre em nova janela)
      • Clique para compartilhar no Facebook(abre em nova janela)
      • Clique para compartilhar no LinkedIn(abre em nova janela)
      • Clique para compartilhar no WhatsApp(abre em nova janela)
      • Clique para imprimir(abre em nova janela)

    • É sério: o mais novo ransomware brasileiro se chama Dilma Locker

      By grupohatikva | Comments are Closed

      A criatividade sem limites do brasileiro rendeu uma nova e curiosa variação de ransomware, aquele golpe de “sequestro” que criptografa os arquivos do seu computador e só libera acesso novamente mediante pagamento. O golpe recentementeRead more

      Compartilhe:

      • Clique para compartilhar no Twitter(abre em nova janela)
      • Clique para compartilhar no Facebook(abre em nova janela)
      • Clique para compartilhar no LinkedIn(abre em nova janela)
      • Clique para compartilhar no WhatsApp(abre em nova janela)
      • Clique para imprimir(abre em nova janela)

    • Brasil continua na mira dos criminosos virtuais; sequestros de PCs ameaçam

      By grupohatikva | Comments are Closed

      Os seis primeiros meses foram bastante cruéis para empresários e consumidores que não se preocuparam em proteger seus computadores com soluções de segurança de qualidade. Uma das maiores provas disso está no novo relatório deRead more

      Compartilhe:

      • Clique para compartilhar no Twitter(abre em nova janela)
      • Clique para compartilhar no Facebook(abre em nova janela)
      • Clique para compartilhar no LinkedIn(abre em nova janela)
      • Clique para compartilhar no WhatsApp(abre em nova janela)
      • Clique para imprimir(abre em nova janela)

    NextPrevious
    • Facebook
    • LinkedIn
    • Google+

    Sobre

    A Hatikva desenvolve projetos a partir de necessidades específicas da sua empresa. Utilizando as melhores ferramentas existentes no mercado, identificamos o problema e apresentamos a melhor solução.

    Horário e Informações

    Rua Miguel Couto, 131 - 7º Andar - Centro
    (21) 3852-7675 | (21) 3852-7674

    No blog

    • Satélite feito por Brasil e China será lançado em dezembro

      O satélite Cbers-4A, desenvolvido por brasileiros em parceria com a China, chegou

      Compartilhe:

      • Clique para compartilhar no Twitter(abre em nova janela)
      • Clique para compartilhar no Facebook(abre em nova janela)
      • Clique para compartilhar no LinkedIn(abre em nova janela)
      • Clique para compartilhar no WhatsApp(abre em nova janela)
      • Clique para imprimir(abre em nova janela)

      7 novembro, 2019

    Assine a Newsletter

    • Home
    • Hatikva Informática
    • Hatikva Software
    • Cases
    • Contato
    • Suporte
    Copyright 2016 Hatikva | Todos os direitos reservados
    • Blog
    • Cases
    • Contato
    • Conteúdo Promocional
    • Empresa
    • Fale com um Consultor em TI
    • Governança em Tecnologia
    • Hatikva Informática
    • Hatikva Software
    • Home
    • Na Mídia
    • Nossos Parceiros
    • Segurança e Controle de Acesso
    • Service desk e Field service
    • Sistemas e Aplicações
    • Suporte
    • Trabalhe Conosco
    Grupo Hatikva