Az ESET kutatói fedezték fel azt a DoubleLocker névre keresztelt, újszerû támadási megoldásokat alkalmazó androidos kártevõt, amely két különféle hatékony eszközt is bevet annak érdekében, hogy képes legyen sikeresen megfertõzni az áldozatok mobilkészülékeit, és pénzt zsaroljon ki tõlük. A vírus az ESET által korábban bemutatott BankBot kártevõ alapjaira épül, azonban hiányoznak belõle a felhasználók banki adatait összegyûjtõ és fiókok törléséért felelõs korábbi funkciók. Újdonság viszont, hogy képes megváltoztatni a PIN kódot és titkosítja a készüléken tárolt adatokat.„A DoubleLocker az Android rendszer hozzáférési szolgáltatásaival kapcsolatos funkciók rosszindulatú felhasználása révén mûködik, amely népszerû módszer a kiberbûnözõk körében. A kártevõ megváltoztatja az eszköz PIN kódját, megakadályozva, hogy a felhasználók hozzáférjenek készülékeikhez, majd titkosítja az eszközön található adatokat. Ez az együttes kombináció ebben a formában korábban még nem bukkant fel androidos környezetben” – mondta a DoubleLocker kártevõt felfedezõ Luká¹ ©tefanko, az ESET kártevõkutatója.
A DoubleLocker a BankBot kártevõhöz hasonló módon terjed: fertõzött weboldalakról letölthetõ hamis Adobe Flash Player programként. Az indítás után az alkalmazás arra kéri a felhasználót, hogy engedélyezzen egy „Google Play szolgáltatást”, majd az engedélyek megadása után adminisztrátori jogosultságot ad az alkalmazásnak, és az alapértelmezett home gombhoz tartozó alkalmazásnak állítja be magát, anélkül, hogy a felhasználó ennek tudatában lenne. Így amikor a felhasználó a home gombra kattint, a zsarolóvírus aktivizálódik, és az eszköz újra lezárásra kerül.
Hogyan távolítsuk el a kártevõt?
A kiberbûnözõk üzenetükben arra figyelmeztetik a felhasználót, hogy az alkalmazás törlése vagy blokkolása után már soha nem kapják vissza adataikat. Azonban azok a felhasználók, akik minõségi mobilvédelmi megoldást használnak - mint például az ESET Mobile Security -, védve vannak a kártevõtõl.
Ilyen mobilvédelmi megoldások hiányában a DoubleLocker eltávolításához a következõ lépések megtétele szükséges:
- Azoknál az eszközöknél, amelyek nincsenek rootolva (azaz a felhasználó teljes hozzáféréssel rendelkezik a készülék minden funkciójához), vagy nem fut rajtuk mobileszköz kezelõ program, a PIN kód visszaállítása és a zároló képernyõ eltüntetése csak a gyári beállítások visszaállítása révén lehetséges. Magyarán minden korábbi személyes adatunk és beállításunk elveszhet, illetve telepítés elõtti alaphelyzetbe kerül.
- Ha az eszközt rootolták, a felhasználó az ABD-n keresztüli kapcsolat révén eltávolíthatja a PIN kódot tartalmazó fájlt. Ehhez azonban engedélyezni kell a hibakeresés funkciót (Beállítások -> Fejlesztõi funkciók -> USB-hibakeresés).
- Miután a PIN kódot és a zárolt képernyõt sikerült eltávolítani, a felhasználó már hozzáférhet készülékéhez, majd biztonságos módban visszavonhatja az adminisztrátori jogokat az alkalmazástól, és törölheti azt. Néhány esetben újraindítás is szükséges.
A kártevõrõl további információ a WeLiveSecurity.com oldalon olvasható.