A vírus az ESET által korábban bemutatott BankBot kártevő alapjaira épül, azonban hiányoznak belőle a felhasználók banki adatait összegyűjtő és fiókok törléséért felelős korábbi funkciók.
Akár a PIN kódunkat is módosíthatja
Újdonság viszont, hogy képes megváltoztatni a PIN kódot és titkosítja a készüléken tárolt adatokat.
„A DoubleLocker az Android rendszer hozzáférési szolgáltatásaival kapcsolatos funkciók rosszindulatú felhasználása révén működik, amely népszerű módszer a kiberbűnözők körében. A kártevő megváltoztatja az eszköz PIN kódját, megakadályozva, hogy a felhasználók hozzáférjenek készülékeikhez, majd titkosítja az eszközön található adatokat” – mondta a DoubleLocker kártevőt felfedező Lukáš Štefanko, az ESET kártevőkutatója.
„Ez az együttes kombináció ebben a formában korábban még nem bukkant fel androidos környezetben” – hívta fel a figyelmet.
A DoubleLocker a BankBot kártevőhöz hasonló módon terjed: fertőzött weboldalakról letölthető hamis Adobe Flash Player programként. Az indítás után az alkalmazás arra kéri a felhasználót, hogy engedélyezzen egy „Google Play szolgáltatást”, majd az engedélyek megadása után adminisztrátori jogosultságot ad az alkalmazásnak, és az alapértelmezett home gombhoz tartozó alkalmazásnak állítja be magát, anélkül, hogy a felhasználó ennek tudatában lenne. Így amikor a felhasználó a home gombra kattint, a zsarolóvírus aktivizálódik, és az eszköz újra lezárásra kerül.
[extracode type=”ad” id=”in_post_trendextra” data=”117″]
Hogyan távolítsuk el a kártevőt?
A kiberbűnözők üzenetükben arra figyelmeztetik a felhasználót, hogy az alkalmazás törlése vagy blokkolása után már soha nem kapják vissza adataikat. Azonban azok a felhasználók, akik minőségi mobilvédelmi megoldást használnak – mint például az ESET Mobile Security -, védve vannak a kártevőtől.
Ilyen mobilvédelmi megoldások hiányában a DoubleLocker eltávolításához a következő lépések megtétele szükséges: azoknál az eszközöknél, amelyek nincsenek rootolva (azaz a felhasználó teljes hozzáféréssel rendelkezik a készülék minden funkciójához), vagy nem fut rajtuk mobileszköz kezelő program, a PIN kód visszaállítása és a zároló képernyő eltüntetése csak a gyári beállítások visszaállítása révén lehetséges. Magyarán minden korábbi személyes adatunk és beállításunk elveszhet, illetve telepítés előtti alaphelyzetbe kerül.
Ha az eszközt rootolták, a felhasználó az ABD-n keresztüli kapcsolat révén eltávolíthatja a PIN kódot tartalmazó fájlt. Ehhez azonban engedélyezni kell a hibakeresés funkciót (Beállítások -Fejlesztői funkciók – USB-hibakeresés).
Miután a PIN kódot és a zárolt képernyőt sikerült eltávolítani, a felhasználó már hozzáférhet készülékéhez, majd biztonságos módban visszavonhatja az adminisztrátori jogokat az alkalmazástól, és törölheti azt. Néhány esetben újraindítás is szükséges.
