DoubleLocker
- một loại Android ransomware mới
xuất hiện được phát hiện ngày 13/10/2017, không những mã hóa dữ liệu của người
dùng mà còn khóa thiết bị android bằng cách thay đổi mã PIN màn hình khóa.
Ransomware này chiếm quyền điều khiển dịch vụ truy cập của Android để dành quyền
quản trị và kích hoạt lại chính nó mỗi khi người dùng nhấn nút Home của điện
thoại. DoubleLocker yêu cầu 0,013 Bitcoin tiền chuộc (khoảng $70 vào thời điểm
của bài viết). Các tệp bị mã hóa với tên file mở rộng là .cryeye, CryEye cũng là tên
của một tác giả phần mềm độc hại đã sửa đổi một phiên bản trojan ngân hàng
Svpeng và đã bán nó trên các diễn đàn hack vào tháng Tám vừa qua.
Thật
vậy, sau khi phân tích DoubleLocker, ransomware này có code gần giống với
trojan banking Svpeng Android nổi tiếng, một trong những dòng phần mềm độc hại
Android lâu đời nhất và sáng tạo nhất. Qua nhiều năm, Svpeng là trojan banking
Android đầu tiên có khả năng: Ăn cắp tiền từ tài khoản ngân hàng của người
dân thông qua các dịch vụ quản lý tài khoản SMS, Che phủ màn hình đăng nhập giả
mạo trên các ứng dụng ngân hàng hợp pháp, Thay đổi mã PIN, khóa thiết bị và yêu
cầu tiền chuộc (tính năng giống như ransomware).
Phương thức lây nhiễm:
Để
lây nhiễm, người dùng thường bị lừa để cài đặt ứng dụng độc hại trên thiết bị
android, lúc đó ứng dụng yêu cầu quyền truy cập vào dịch vụ trợ năng
(Accessibility service). Sau khi người dùng cấp cho ứng dụng quyền truy cập
này, dịch vụ truy cập cho phép ứng dụng độc hại bắt chước người dùng. Ứng dụng
lạm dụng tính năng này để truy cập cài đặt Android và cấp quyền quản trị viên
cho chính nó. Sau đó, DoubleLocker bắt đầu hành vi nguy hiểm bằng cách khóa mã
PIN của người dùng bằng mã PIN ngẫu nhiên và mã hóa tất cả các tệp trên thiết bị
lưu trữ chính của phương tiện với thuật toán mã hóa AES. DoubleLocker hiện là một
trong số rất ít ransomware Android thực sự mã hóa các tập tin vì hầu hết các
Android ransomware chỉ khóa màn hình của người dùng.
Hành
vi đặc biệt trong phương thức của DoubleLocker là nó tự kích hoạt lại chính nó
mỗi khi người dùng nhấn nút Home của thiết bị Android vì DoubleLocker đã thiết
lập chính nó như là trình khởi chạy ứng dụng mặc định trên thiết bị để đảm bảo
người dùng không thể bỏ qua màn hình khóa. Nếu người dùng bỏ qua màn hình khóa
thông qua nhiều cách khác nhau thì sau khi nhấn lại nút Home thì DoubleLocker sẽ
khởi động lại giá chuộc và gián tiếp khóa lại thiết bị. DoubleLocker cũng không
gửi mã PIN hoặc khóa mã hóa của thiết bị cho các tác giả, nhưng nếu sau khi
thanh toán tiền chuộc, kẻ tấn công có thể đặt lại PIN và mở khóa thiết bị từ
xa.
Nếu
thiết bị android của bạn bị nhiễm DoubleClocker Ransomware:
1.
Với dữ liệu: Không có cách nào để mở các tập tin mã hoá.
2.
Với các thiết bị không root, người dùng có thể thiết lập lại điện thoại
(factory reset) để mở khóa điện thoại.
3.
Với các thiết bị Android đã root và đã bật chế độ gỡ lỗi, có thể sử dụng công cụ
Android Debug Bridge (ADB) để đặt lại PIN mà không cần reset lại thiết bị.
Cách
tốt nhất để tự bảo vệ mình khỏi ransomware là luôn tải xuống các ứng dụng từ nguồn đáng tin cậy như Google CH Play.
Ngoài ra, không bao giờ nhấp vào liên kết
được cung cấp trong tin nhắn SMS hoặc email. Ngay cả khi email có vẻ hợp
pháp, hãy chuyển trực tiếp tới trang web xuất xứ và xác minh kỹ các bản cập nhập.
Cuối cùng, hãy sử dụng một ứng dụng chống
vi-rút tốt trên điện thoại thông minh để có thể phát hiện và chặn các phần
mềm độc hại.
Tỷ lệ phát hiện
DoubleLocker Ransomware trên VirusTotal: https://goo.gl/ywf8jH
Xem thêm: Mã
trojan banking Svpeng trên VirusTotal: https://goo.gl/AWQfgt và https://goo.gl/6ZNxoE