Владельцы смартфонов на базе Android оказались под ударом вируса-шифровальщика. Используя уязвимость Android Accessibility Service, зловред DoubleLocker меняет PIN-код на зараженном аппарате и шифрует его содержимое.

Уязвимость Accessibility Service давно известна и хакерам, и специалистам по безопасности. Сама эта функция позволяет приложениям эмулировать прикосновения по элементам управления, упрощая использование устройства людям со слабым зрением и прочими ограничениями. Зловредные приложения используют Accessibility Service для перехвата управления, контроля трафика, хищения средств с банковских счетов и т. п.

Вирус обнаружили специалисты компании ESET. В его основе — уже известный троянец BankBot, который в январе пробрался в официальный магазин приложений Google Play. Как и BankBot, DoubleLocker распространяется под видом обновления Adobe Flash Player. После запуска зловред от лица Google Play Service запрашивает у пользователя разрешение на управление.

Если пользователь предоставляет DoubleLocker требуемые разрешения, вирус дает себе статус администратора и привязывается к кнопке “Домой”. Каждое ее нажатие запускает шифровальщик, который раз за разом блокирует устройство. Разумеется, все это — без ведома пользователя.

Владелец смартфона обнаруживает, что не может ни разблокировать свой гаджет, ни получить доступ к данным. За расшифровку злоумышленники требуют в течение суток заплатить относительно скромный выкуп — 0,0130 BTC (чуть более 72 долл. США по курсу 16 октября). Альтернативой является возврат к заводским настройкам, что позволяет вернуть контроль над устройством, пусть и с потерей данных.

На рутированных гаджетах пользователь может попытаться обойти блокировку. Для этого нужно перейти в режим отладки с помощью ABD и удалить системный файл с PIN-кодом. Это разблокирует экран устройства. Далее пользователь может лишить зловредное приложение администраторского статуса и удалить. Тем не менее, содержимое все равно будет утеряно — без ключа расшифровать его не получится.

Главной мерой защиты от шифровальщика является установленное антивирусное приложение (наряду с обязательной привычкой никогда не скачивать приложения из неофициальных источников).

Как ни странно, если пользователь не реагирует на требования выкупа, зашифрованные данные не стираются. Восстановить контент пользователь может из резервной копии. Все это вместе с небольшой суммой выкупа делает DoubleLocker более похожим на тестовую версию зловреда, нежели на боевую. В своем отчете исследователи ESET отмечают, что в его коде не заложены функции финансового мошенничества, как в родительском BankBot. Тот зловред умел перехватывать SMS-трафик, создавать фишинговые окошки для ввода банковских данных, параллельно блокируя работу мобильных антивирусов. Если злоумышленники доработают DoubleLocker в подобном ключе, пользователи столкнутся с более серьезной, двухступенчатой атакой — сначала вирус попытается украсть деньги с привязанной к устройству карты или счета PayPal, а потом станет требовать выкуп за разблокировку.

Категории: Вредоносные программы, Уязвимости