חוקרי חברת אבטחת המידע ESET איתרו לראשונה תוכנת כופר לאנדרואיד המנצלת את שירותי הנגישות של מערכת ההפעלה. חוץ מלהצפין את הקבצים השמורים במכשיר הנוזקה נועלת את מכשיר הקורבן.
הנוזקה החדשה המכונה DoubleLocker, מבוססת על טרויאני לגניבת פרטי בנק ואשראי ומנצלת לרעה את שירותי הנגישות של מערכת ההפעלה אנדרואיד. עם זאת, ל-DoubleLocker אין את הפונקציות הקשורות לגניבת אישורי הבנקאות של המשתמשים ומחיקת את החשבונות שלהם. במקום זאת, יש לה שני כלים רבי עוצמה אחרים לסחיטת כסף מהקורבנות שלה. DoubleLocker יכולה לשנות את סיסמת הנעילה ובכך למנוע גישה למכשיר. בנוסף באפשרותה להצפין את הקבצים והתיקיות הנמצאים על מכשיר האנדרואיד – השילוב הקטלני הזה מופיע לראשונה במערכת ההפעלה של אנדרואיד.
כיצד היא מופצת?
DoubleLocker מופצת בדומה לטרויאני לגניבת פרטי בנק ואשראי עליו היא מבוססת. בהתקפה מגיע הקורבן לאתר זדוני או אתר שהודבק, כאשר הוא מתבקש להתקין תוסף מזויף של Adobe Flash Player על מנת לצפות בתוכן שבאתר (יכול להיות סרטון שנשלח אליו לינק או אתר סטרימינג).
לאחר התקנת התוסף, הקורבן מתבקש לתת הרשאות מנהל עבור שירות מתחזה שנקרא Google Play Service. ברגע שהתוסף הזדוני מקבל את הרשאות מנהל עבור השירות שלו, הוא מגדיר את עצמו כ Launcher של המכשיר. הגדרה של Launcher באנדרואיד משמעותה האפליקציה שמנהלת את העיצוב של הממשק ושל דפי הבית במכשיר. המשמעות היא שבכל פעם שהמשתמש לוחץ על הכפתור “בית” במכשיר (בדרך כלל הכפתור האמצעי במרבית מכשירי האנדרואיד), מופעל שוב התוסף הזדוני שמפעיל גם את נעילת המכשיר.
נועלת גם את המכשיר וגם את הנתונים
ברגע שהנוזקה משתלטת על המכשיר היא מבצעת שתי נעילות שונות של המידע, סיבה כפולה לקורבנות לשלם את הכופר. ראשית, היא משנה את קוד הנעילה של המכשיר, וחוסמת את שימוש הקורבן במכשיר. קוד הנעילה החדש מוגדר כערך אקראי שאינו מאוחסן במכשיר ולא נשלח לשום מקום, ולכן אין אפשרות, לא לקורבן ולא למומחה אבטחה לשחזר את הקוד. לאחר תשלום כופר, התוקף יכול מרחוק לאפס את קוד הנעילה ולפתוח את המכשיר.
שנית, DoubleLocker מצפינה את כל הקבצים מספריית האחסון הראשית של המכשיר בצירוף סיומת הקובץ “Cryeye.”. תשלום הכופר המבוקש על מנת לשחרר את המכשיר והקבצים עומד על 0.0130 ביטקוין, שהם כיום כ-72 דולר והמסר מדגיש כי הוא חייב להיות משולם בתוך 24 שעות. אם הכופר לא ישולם, הנתונים יישארו מוצפנים והמכשיר יישאר נעול.