DoubleLocker, il ransomware per Android che ruba i dati bancari

DoubleLocker. Il malware scoperto dai ricercatori di Eset: il virus cambia il Pin del dispositivo chiedendo un riscatto. E potrebbe evolversi in trojan bancario

I ricercatori di Eset, la più grande casa di software per la sicurezza digitale dell’Unione Europea, hanno scoperto un nuovo malware per Android che mescola un meccanismo di infezione con due potenti strumenti per estorcere denaro alle vittime. Si chiama DoubleLocker e si diffonde principalmente come falso aggiornamento di Adobe Flash Player tramite siti compromessi. Sfrutta i servizi di accessibilità di Android, secondo uno schema tipico di questo genere di attacchi.

Cosa può fare DoubleLocker? In pratica è in grado di cambiare il Pin del dispositivo (impostandone uno a caso che non viene registrato sul dispositivo o inviato da qualche parte, così da impedire all’utente o a un esperto di sicurezza di recuperarlo) per tagliare fuori il legittimo proprietario. Poi codifica i dati, rendendoli irrecuperabili. Una combinazione che, secondo Eset, non era mai stata registrata prima nell’ecosistema del robottino verde. Una volta avviata, l’applicazione malevola richiede l’attivazione del fantomatico “Servizio di Google Play”. Poi acquisisce le autorizzazioni di accesso e le sfrutta per attivare i diritti di amministratore del dispositivo. Infine, senza ovviamente nessun intervento dell’utente, si imposta come applicazione Home predefinita. Cliccando il tasto Home, insomma, lo si manda ripetutamente in esecuzione.

Dunque un ransomware, un malware che chiede un riscatto (per la precisione di 0.0130 Bitcoin, circa 54 dollari entro 24 ore) per recuperare, in realtà senza alcuna sicurezza, l’accesso ai propri contenuti, ma anche lo sviluppo di un trojan bancario (Android.BankBot.211.origin) in cui i ricercatori di Eset erano già incappati. Secondo gli esperti la funzionalità che consentirebbe a questo malware di sottrarre le credenziali bancarie dai sistemi delle vittime potrebbe essere aggiunta molto facilmente. Se così si evolvesse, DoubleLocker diventerebbe una sorta di “ransom-banker”, già identificato in una versione di test in the wild lo scorso maggio.

“Considerando la sua natura di malware bancario, il DoubleLocker potrebbe facilmente trasformarsi in quello che poossiamo definire un ransom-banker – ha spiegato Lukáš Stefanko, il ricercatore malware di Eset che ha scoperto il DoubleLocker – un malware a due fasi che prima tenta di svuotare il tuo conto bancario o quello di PayPal e successivamente blocca il tuo dispositivo e i tuoi dati per richiedere un riscatto”.
Fonte: Simone Cosimi – La Repubblica