Ransomware mới trên Android với khả năng khoá máy hai lớp

20/10/2017

Mới đây một loại ransomware mới được phát hiện trên thiết bị Android có tên là DoubleLocker Ransomware. DoubleLocker không chỉ đơn giản là mã hóa dữ liệu của người dùng giống như các loại ransomware khác vẫn làm mà còn thay đổi mã PIN trên các thiết bị nạn nhân để đòi tiền chuộc.

Các nhà nghiên cứu bảo mật tại ESET đã phát hiện ra DoubleLocker. Theo các nhà nghiên cứu, ransomware này lợi dụng cài đặt khả năng truy cập trên thiết bị Android, và đây cũng là loại ransomware đầu tiên sử dụng phương pháp tiếp cận double-lock (khóa kép).
Chuyên gia malware này tin rằng ransomware mới phát hiện có thể được nâng cấp trong tương lai để trộm tài khoản ngân hàng. Được phát hiện vào hồi tháng 5, DoubleLocker lây lan trên Android bằng cách nấp ở website bị tấn công và được giả thành một bản cập nhật Adobe Flash.
 

Cách ransomware DoubleLocker hoạt động 

– Khi cài đặt thành công, malware yêu cầu người dùng kích hoạt tính năng tiếp cận ‘Google Play Service’, nó còn đưa ra một video hướng dẫn cách thực hiện.
– Khi đã được cấp quyền tiếp cận, malware này tự động lấy quyền quản trị của smartphone và tự cài đặt nó như là ứng dụng mặc định khi khởi chạy. Người dùng thông thường hầu như không thể biết những hoạt động này.
– Theo ESET, ransomware này tự gán mình là một launcher, một mánh để giúp nó luôn hiện diện. Khi người dùng nhấp vào nút Home, mã độc này sẽ được kích hoạt và thiết bị sẽ khoá lại lần nữa.
– Khi đã thực thi, DoubleLocker sẽ đổi PIN của thiết bị sang mã số ngẫu nhiên, kể cả kẻ viết ra mã độc cũng không biết. Mã PIN bị thay đổi cũng không lưu trữ tại bất kỳ đâu, điều này đồng nghĩa với việc Malware đã lợi dụng việc này để mã hoá toàn bộ tập tin với thuật toán AES.
– DoubleLocker yêu cầu khoản tiền chuộc là 0,0130 đồng Bitcoin (khoảng 74,38 USD) và doạ nạn nhân phải chi trả tiền chuộc trong 24 giờ.
– Khi nhận được tiền chuộc, kẻ tấn công cung cấp khoá giải mã để mở tập tin, và reset mã PIN từ xa để mở thiết bị của nạn nhân.

Chuyên gia nghiên cứu bảo mật tại ESET  cũng lưu ý người dùng:

- Việc mã hóa được thực hiện đúng cách, tức là nếu không may thiết bị của bạn là nạn nhân xấu số, không có cách nào để khôi phục lại các file, trừ khi nhận đã key mã hóa từ kẻ tấn công.
- Nếu đã có một bản sao lưu dữ liệu trước đó, bạn có thể loại bỏ ransomware mà không cần phải thanh toán bất kỳ khoản tiền chuộc nào cho kẻ tấn công.
– Cách tốt nhất để tự bảo vệ, tránh biến mình thành nạn nhân của DoubleLocker là bạn phải chỉ tải ứng dụng từ nguồn tin tưởng như Google Play Store.
– Cũng không nên nhấp vào những liên kết được cung cấp qua SMS hay email dù trông nó có vẻ hợp lý.
– Luôn backup dữ liệu quan trọng theo định kỳ tránh trường hợp thiết bị của bạn bị tấn công

– Quan trọng nhất là bạn cần có ứng dụng antivirus trên smartphone để có thể ngăn chặn malware trước khi nó lây nhiễm.