محققین ESET، باج افزار جدیدی که با سوء استفاده از سرویس های دسترسی اندرویدی علاوه بر رمزگذاری داده ها باعث قفل شدن دستگاه نیز می شود، را کشف کردند.
محصولات ESET این باج افزار را با عنوان Android/DoubleLocker.A شناسایی می کنند. این باج افزار بر مبنای یک تروجان بانکی خاص است و از سرویسهای دسترسی سیستم عامل اندرویدی سوءاستفاده می کند. با این حال، DoubleLocker توابع مربوط به جمع آوری اطلاعات بانکی کاربران و پاک کردن حساب های آنها را ندارد. در عوض دارای دو ابزار قدرتمند برای گرفتن پول از قربانیان خود است.
این باج افزار می تواند پین کد دستگاه را تغییر داده و مانع از دسترسی کاربر به دستگاه شود همچنین اطلاعات درون آن را نیز رمزنگاری می کند، ترکیبی که قبلا در محیط های اندرویدی دیده نشده است.
یکی از محققان ESET که این باج افزار را شناسایی کرده است می گوید : با توجه به ریشه های مربوط به تروجان های بانکی، DoubleLocker به خوبی می تواند تبدیل چیزی با عنوان ransom-bankers شود. این بدافزار دو مرحله ای ابتدا تلاش می کند که حساب های بانکی شما را پاک کرده و سپس با قفل کردن دستگاه و رمزنگاری داده اقدام به درخواست باج نماید… که گمانه زنی های محقیق ESET با توجه به نسخه آزمایشی ransom-banker در ماه می 2017 است.
توزیع
باج افزار DoubleLocker از راهی بسیار شبیه به توزیع تروجانهای بانکی گسترش می یابد. این باج افزار بیشتر شبیه به یک Adobe Flash Player جعلی از طریق وبسایت های آسیب دیده توزیع می گردد.
با یکبار اجرا، درخواست فعالسازی سرویس های گوگل پلی را می دهد. پس از اینکه بدافزار به مجوزها، دست پیدا کرد، از آنها برای فعال کردن حقوق ادمین دستگاه استفاده کرده و بدون نیاز به مجوز کاربر دستگاه، خود را به عنوان برنامه اصلی پیش فرض تنظیم می کند.
یکی از محققان ESET توضیح میدهد که : تنظیم بدافزار به عنوان اپلیکیشن پیش فرض (Launcher)، ترفندی است که باعث دوام بیشتر بدافزار می شود. هر زمان که کاربر روی دکمه Home دستگاه خود کلیک کند، بدافزار فعال شده و دستگاه دوباره قفل می شود. کاربر اصلا نمی داند که با آسیبی که به اپلیکیشن اصلی پیش فرض وارد شده، در واقع یک بدافزار اجرا می شود.
قفل شدن دستگاه و اطلاعات
باج افزار DoubleLocker ، با یکبار اجرا دو دلیل برای گرفتن باج از قربانی ایجاد می کند.
اول، این باج افزار پین کد دستگاه را تغییر داده و قربانی نمی تواند از آن استفاده کند. پین کد جدید هم یک مقدار تصادفی است که نه در جایی ذخیره می شود و نه به جایی ارسال می شود، بنابراین ریکاوری آن برای کاربر و متخصصان مقدور نیست. بعد از پرداخت باج، مهاجم می تواند از راه دور پین کد را مجددا تنظیم کند و قفل دستگاه را باز نماید.
دوم، DoubleLocker تمامی داده های موجود در دایرکتوری حافظه اصلی دستگاه را رمزنگاری می کند. این باج افزار از الگوریتم رمزنگاری AES استفاده می کند و به داده ها پسوند .Cryeye را اضافه می نماید. رمزنگاری به درستی انجام می شود بدین معنی که متاسفانه هیچ راهی برای بازگردانی اطلاعات و فایلها وجود ندارد مگر اینکه مهاجم کلید رمزگشایی را در اختیار قربانی قرار دهد.
میزان باج 24 بیت کویین (تقریبا معادل 54دلار ) است و در پیغام آن مشخص شده که تنها 24 ساعت زمان برای پرداخت وجود دارد. به هر حال چنانچه باج پرداخت نشود اطلاعات رمز شده باقی می ماند و پاک نخواهند شد.
چطور از این باج افزار خلاص شویم ؟
در پیغام باج، به کاربر برای حذف و یا غیر فعال کردن DoubleLocker هشدار داده شده است : “بدون نرم افزار هرگز نمی توانید اطلاعات اصلی خود را پس بگیرید”.
برای جلوگیری از حذف ناخواسته “نرم افزار”، مهاجمان حتی به کاربر توصیه می کنند که نرم افزار آنتی ویروس خود را غیر فعال کنند.
یکی از محققین ESET می گوید: “چنین توصیه ای بی اهمیت است: همه کسانی که از راه حل امنیتی با کیفیت در دستگاه های خود استفاده می کنند از DoubleLocker ایمن هستند.
تنها گزینه قابل قبول برای حذف باج افزار DoubleLocker از دستگاه، بازگردانی آن به تنظیمات کارخانه (Factory reset) می باشد.
برای دستگاههای روت شده یک روش برای دستیابی به پین کد قبلی بدون نیاز به factory reset وجود دارد. برای اینکه این روش جواب دهد باید دستگاه قبل از فعال شدن DoubleLocker ، در حالت Debugging قرار گرفته باشد.
اگر این شرایط برقرار باشد، کاربر می تواند از طریق ADB به دستگاه وصل شده و فایلهای سیستمی که پین کد توسط اندروید در آن ذخیره شده اند را پاک کند. این عملیات قفل دستگاه را باز کرده و کاربر می تواند به دستگاه خود دسترسی داشته باشد. سپس با راه اندازی دستگاه در حالت Safe mode ، کاربر می تواند کاربر ادمین را غیرفعال کرده و بدافزار را حذف نماید. در برخی موارد نیاز به بوت شدن مجدد دارد.
همانطور که قبلا هم ذکر شد برای رمزگشایی داده های موجود در دستگاه راهی وجود ندارد.
به نقل از محققین ESET این باج افزار دلیل دیگری برای کاربران تلفن همراه برای استفاده از یک راه حل امنیتی معتبر بر روی دستگاههای اندرویدی و پشتیبان گیری منظم از اطلاعات خود، است.