Il 2016 è stato ufficialmente l’anno dei ramsomware, ossia categorie malevole di software in grado di prendere letteralmente in ostaggio i file contenuti nei dispositivi ospiti allo scopo di estorcere denaro reale tramite circuiti virtuali di transazioni che portano, o almeno dovrebbero portare, alla restituzione dei file prelevati indebitamente dalle varie piattaforme, tra cui rientrano in primo piano quelle appartenenti agli ecosistemi Android.
Si tratta di un fenomeno in esponenziale diffusione, complici anche tecniche sempre più sofisticate e sistemi diversificati che esulano dal semplice contesto del mobile communication e delle postazioni Desktop standalone per ampliare i propri orizzonti anche nei confronti dei comparti dell’automotive, dell’IoT (Internet of Things) e addirittura dell’home entertainment, come portato alla luce dai numerosi rapporti divulgati per mano della nota società di IT Security Eset Corporation.
E sono proprio i ricercatori appartenenti ad Eset ad aver recentemente individuato un nuovo caso di malware Android il cui scopo è fondamentalmente quello di arrecare danno all’utente prelevando indebitamente denaro dai propri conti in banca o dai circuiti virtuali di trasmissione della moneta come il famoso Paypal. Si tratta di un nuovo sistema di attacco chiamato DoubleLocker, la cui metodica di diffusione sfrutta l’ingenuità dell’utente portato all’installazione di un presunto aggiornamento della componente Adobe Flash Player che, come noto, si rende necessaria per la visualizzazione di stream video sul web.
Portarsi al download del pacchetto ed al successivo install conduce inevitabilmente all’infezione, verso cui si concedono pieni permessi di utilizzo delle funzioni di accessibilità Android. Sono fondamentalmente due le azioni svolte da questo temibile virus Android.
In primo luogo il malware si porta alla modifica del Pin del device impostandone uno random che non viene immagazzinato localmente o su altra tipologia di memoria elettronica, ma il cui scopo è fondamentalmente quello di impedire all’utente comune o ad un esperto del settore di poter accedere fisicamente al proprio device. Un sistema di attacco decisamente inconsueto del quale non se ne è mai avuta traccia fino a questo momento.
Secondo l’analisi degli esperti in sicurezza della società di Eset, una volta ultimata questa prima fase, il componente infetto procede richiedendo l’attivazione del noto “Servizio di Google Play” già dalla prima fase di avvio della stessa, dopodiché procede all’acquisizione integrale dei permessi di amministrazione del device coinvolto e, senza alcuna esplicita autorizzazione dell’utente, prosegue impostando l’app come predefinita per la Home. Ogni qualvolta si accede alla Home, quindi, si avvia nuovamente il circuito di infezione che prosegue così a ciclo indefinito.
Si tratta di una categoria di malware ben precisa che rientra nel contesto dei cosiddetti ransomware. In particolare, gli esperti rivelano che il corrispettivo richiesto in Bitcoin per la rimozione della minaccia è di 0.0130 Bitcoin, ovvero sia circa $54 dollari entro le 24 ore successive l’orario di infezione, cifra senz’altro di non poco conto. In tal modo, almeno in linea teorica, si dovrebbero riavere indietro i propri file ma senza la pretesa di un’assoluta sicurezza.
Si tratta di un sistema di attacco che fa capo ad un trojan specifico che prende di mira i dati bancari degli utenti coinvolti e che va sotto l’indicativo di Android.BankBot.211.origin. Non una situazione nuova, visto che gli stessi ricercatori riferiscono di quella che è una variante di un virus già conosciuto. Secondo gli analisti, infatti, si tratterebbe di un sistema di infezione che preleva con estrema semplicità le credenziali bancarie e che pertanto si conferma quale pericolosissimo “ransom-banker”. Il ricercatore Lukáš Štefanko di Eset ha spiegato che:
“Considerando la sua natura di malware bancario, il DoubleLocker potrebbe facilmente trasformarsi in quello che possiamo definire un ransom-banker. Si tratta di un malware a due fasi che prima tenta di svuotare il tuo conto bancario o quello di PayPal e successivamente blocca il tuo dispositivo e i tuoi dati per richiedere un riscatto”
Si tratta di un fenomeno in rapida ascesa e che promette di mietere un numero sempre crescente di vittime. Il consiglio, in questi casi, è quello di procedere sempre con la massima prudenza e con la massima diffidenza, garantendosi non soltanto l’accesso ad applicazioni e componenti integrative realizzate da publisher di comprovata affidabilità ma anche la supervisione attiva dei contenuti tramite una semplice ricerca sul web.
E tu sei stato vittima di un attacco simile? Come ne sei uscito? Rilascia pure qui una tua personale testimonianza e consulta pure la nostra guida anti-malware per la difesa dei tuoi dispositivi Android.