DoubleLocker, il ransomware che modifica il PIN. Come rimuoverlo

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

DoubleLocker è un ransomware pericoloso perché sfrutta un trojan che modificato in modo opportuno potrebbe portare al furto delle credenziali bancarie, i consigli di ESET e come rimuoverlo

ESET ha individuato un nuovo malware per Android che i malcapitati installano tramite gli aggiornamenti di Adobe Flash Player, ma solo quelli scaricati da siti compromessi, e in grado poi di sfruttare in modo improprio i servizi di accessibilità di Android.

Si chiama DoubleLocker, con il suo astuto payload di infezione il malware cambia il Pin del dispositivo infettato, in modo che non sia più possibile l’accesso all’utente legittimo e inizia a codificare i dati sul dispositivo.

L’applicazione malevola scaricata dai siti compromessi prima richiede l’attivazione del Servizio di Google Play, richiesta che pare legittima, una volta chieste e ottenute le autorizzazioni, il malware le sfrutta per attivare i diritti di amministrazione sul dispositivo e si attiva come applicazione Home predefinita, escludendo le possibilità di reazione dell’utente.

DoubleLocker in azione, con i file sullo smartphone già crittografati
DoubleLocker in azione, con i file sullo smartphone già crittografati

La vittima troverà valido come motivo per pagare il riscatto richiesto il fatto che il suo dispositivo è altrimenti inutilizzabile. Il PIN registrato da DoubleLocker infatti non viene nemmeno memorizzato sul dispositivo, mentre sarà solo il criminale da remoto a poter risbloccare il device.

Intanto DoubleLocker avrà già codificato tutti i contenuti con la crittografia AES, aggiungendo al nome dei file l’estensione “.cryeye”. Pagare costa 54 dollari ovvero circa 0,0130 Bitcoin, la valuta del riscatto. 

Alla base di questo malware, che a tutti gli effetti è un ransomware c’è un trojan bancario già conosciuto dagli esperti di ESET. Il rischio ulteriore di questa infezione si avrebbe se fossero aggiunte al malware le capacità di sottrarre credenziali bancarie. DoubleLocker si trasformerebbe in questo caso in un ransom-banker.

Il consiglio del vendor è invece già conosciuto e disatteso. Da un lato è importante utilizzare una valida soluzione di sicurezza per la protezione dei dispositivi mobile, già in grado di impedire il contagio da DoubleLocker, a questo aggiungiamo i nostri.

Pur considerati gli ultimi malware trovati anche su app legittime scaricate dallo store Google Play, è importante avvalersi per il download delle app solo dei repository “ufficiali”, e ancora di più è importante fermarsi un attimo a pensare a quali sono le richieste legittime delle applicazioni di accedere ad altre app e funzionalità già installate, concedendo solo quelle strettamente necessarie.

Per rimuovere il ransomware se il dispositivo non dispone di una soluzione di gestione remota capace di resettare il PIN, unica alternativa è ripristinare alle impostazioni di fabbrica il dispositivo.

Chi ha i propri dati in cloud, o un backup può percorrere questa via, altrimenti se il dispositivo è rooted ESET consiglia la connessione tramite ADB, e la rimozione del file che registra il PIN, con il dispositivo abilitato per il debug via USB. Poi lavorando in modalità provvisoria bisognerà disabilitare i diritti di amministratore del malware e al massimo riavviare.