info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

DoubleLocker: باج‌افزار اندرویدی با قابلیت تغییر PIN موبایل

خلاصه: باج‌افزار DoubleLocker که در ماه اوت کشف شد نه‌تنها اطلاعات دستگاه اندرویدی را رمزگذاری می‌کند، بلکه گام دیگری نیز در جهت تغییر PIN دستگاه برمی‌دارد. این بدافزار، به‌عنوان برنامه‌ی home پیش‌فرض یا راه‌انداز، بعد از این‌که کاربر دکمه‌ی home را فشار می‌دهد، فعال می‌شود، سپس پین را تغییر داده و آن را به یک مقدار تصادفی که بر روی دستگاه ذخیره نشده و ارسال نمی‌شود تنظیم می‌کند، همچنین به‌عنوان یک باج‌افزار فایل‌ها را در دایرکتوری ذخیره‌سازی اولیه رمز‌گذاری می‌کند.

 

کاربرانی که فلش‌پلیر جعلی را از یک سایت مخرب دانلود می‌کنند احتمالا خود را با یک نوع جدید از باج‌افزار اندرویدی به‌نام DoubleLocker قربانی می‌کنند. این باج‌افزار که در ماه اوت کشف شد نه‌تنها اطلاعات دستگاه اندرویدی را رمزگذاری می‌کند، بلکه گام دیگری نیز در جهت تغییر PIN دستگاه برمی‌دارد. جالب‌ترین نکته این است که این باج‌افزار از یک ترکیب خطرناک از سه‌جنبه‌ که قبلا مشاهده نشده است استفاده می‌کند: خدمات دسترسی که از طرف کاربر کلیک می‌کند، رمزنگاری داده‌ها و همچنین بازنشانی پین از طرف کاربر.

DoubleLocker براساس بدافزار بانکی موبایل ساخته شده است که از خدمات دسترسی برای به‌ دست آوردن کنترل روی دستگاه آلوده شده استفاده می‌کند.

براساس گفته‌ی محققان ESET، این بدافزار از هیچ‌آسیب‌پذیری‌ای بهره‌برداری نمی‌کند و فقط از خود سیستم همانطوری که طراحی شده است استفاده می‌کند. هنگامی که DoubleLocker مجوز‌های دسترسی را تامین می‌کند از آن‌ها برای استفاده از حقوق مدیر استفاده کرده و خود را به‌عنوان برنامه‌ی home پیش‌فرض، بدون تایید کاربر ایجاد می‌کند.

این بدافزار، به‌عنوان برنامه‌ی home پیش‌فرض یا راه‌انداز، بعد از این‌که کاربر دکمه‌ی home را فشار می‌دهد، فعال می‌شود، سپس پین را تغییر داده و آن را به یک مقدار تصادفی که بر روی دستگاه ذخیره نشده و ارسال نمی‌شود تنظیم می‌کند، در نتیجه نه کاربر و نه تیم امنیتی نمی‌توانند پین را بازیابی کنند. اگر کاربر باج را بپردازد، مهاجم از راه دور پین را بازنشانی کرده و دستگاه را باز می‌کند.

DoubleLocker همچنین به‌عنوان یک باج‌افزار فایل‌ها را در دایرکتوری ذخیره‌سازی اولیه رمز‌گذاری می‌کند. کاربران درصورتی که با پسوند فایل .cryeye مواجه شوند متوجه می‌شوند که مورد حمله قرار گرفته‌اند.

این باج‌افزار ۰.۰۱۳۰ بیت‌کوین یا تقریبا ۵۴ دلار درخواست می‌کند و قربانیان ۲۴ ساعت مهلت دارند که آن را پرداخت کنند، اگر آن‌ها این‌کار را انجام دهند داده‌هایشان را پس‌خواهند گرفت.

دستگاه‌هایی که root نشده‌اند و بدون یک سیستم مدیریت دستگاه موبایل که می‌تواند پین را بازنشانی کند، هستند، می‌توانند با factory reset بازیابی شوند. این کار در حالی که قفل پین را حذف می‌کند همه‌ی داده‌های دستگاه را نیز حذف خواهد کرد.

برای دستگاه‌هایی که root شده‌اند و debugging در تنظیمات آن‌ها فعال ‌شده است کاربر می‌تواند دستگاه را با ADB ‪(Android Debug Bridge)‬ وصل کند و فایلی را که پین در آن ذخیره‌شده است را حذف کند.

 

 

مطالب مرتبط