doublelocker

Pixabay

Si tu teléfono es Android, evita descargar cualquier tipo de software de Adobe Flash Player o lo que sea que se le parezca, especialmente desde páginas web no seguras. La compañía de seguridad informática ESET ha descubierto un nuevo tipo de ransomware que ataca gravemente a los móviles con este sistema operativo.

DoubleLocker está basado en un troyando bancario, por lo que en primera instancia recolecta las credenciales bancarias o de PayPal de los usuarios para vaciar sus cuentas o incluso eliminarlas.

Además, es capaz de cifrar los datos de accesibilidad del dispositivo infectado para luego cambiar el número de PIN. Así, los usuarios no pueden acceder a su equipo hasta pagar el rescate exigido por los ciberdelincuentes.

El nuevo PIN es establecido con base en un valor aleatorio, por lo que no se almacena en el dispositivo ni se envía a otro lugar. Es por esto que ni el usuario ni un experto en seguridad pueden recuperarlo. Tras realizarse el pago de la extorsión, el ciberdelincuente restablece el PIN vía remota y desbloquea el equipo.

El monto del rescate solicitado es de 0.0130 Bitcoins y se debe hacer dentro de las primeras 24 horas. De lo contrario, los datos permanecerán cifrados pero no serán borrados.

De acuerdo con los investigadores de la empresa en seguridad informática, es la primera vez que se ha creado un malware para Android que combine tanto el cifrado de datos como el cambio de PIN.

“Debido a sus raíces de amenaza bancaria, DoubleLocker bien podría convertirse en lo que podemos llamar ransom-bankers. Es un malware que funciona en dos etapas. Primero trata de vaciar tu cuenta bancaria o de PayPal y luego bloquea tu dispositivo e información para solicitar el pago del rescate. Dejando las especulaciones de lado, la primera vez que vimos una versión de prueba de un ransom-banker de este tipo fue en mayo de 2017″, comentó Lukáš Štefanko, quien descubrió DoubleLocker.

El ransomware se propaga a través de las descargas de un Adobe Flash Player falso desde webs comprometidas y se instala a sí mismo luego de que se le otorge el acceso a través del servicio Google Play.

Una vez que obtiene los permisos de accesibilidad, activa los derechos de administrador del teléfono y se establece como una aplicación de Inicio (Home) por defecto sin el consentimiento del usuario.

“Establecerse a sí mismo como una aplicación de Inicio por defecto (un launcher) es un truco que mejora la persistencia del malware. Cada vez que el usuario hace clic en el botón Inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias al uso del servicio de accesibilidad, el usuario no sabe que ejecuta malware pulsando Inicio”, explicó Štefanko.

Los investigadores de ESET muestran en el video a continuación cómo funciona este ransomware:

YouTube video

¿Cómo protegerte de DoubleLocker?

La recomendación de Stefanko es realizar el reinicio de fábrica del dispositivo. Sin embargo, es posible superar el bloqueo del PIN sin necesidad de reiniciarlo en smartphones conectados, sólo si estaban en modo de depuración antes de que se activara el ransomware. En ese caso, el usuario puede conectarse a través de ADB y eliminar el archivo del sistema que almacena el PIN. Con esto se desbloquea la pantalla y se puede acceder.

También se pueden desactivar los derechos de administrador del teléfono inteligente para el malware y desinstalarlo. Para ello, a veces es necesario reiniciarlo.