17.10.2017 12:30

Nowy wirus na Androida zmienia PIN w telefonie i blokuje dostęp do danych

Eksperci z firmy ESET przestrzegają przed wirusem DoubleLocker, który uniemożliwia dostęp do danych i żąda okupu za możliwość jego przywrócenia.

Nowy wirus na Androida zmienia PIN w telefonie i blokuje dostęp do danych
foto: Pxhere.com/CC0

Lukáš Štefanko, ekspert ds. szkodliwego oprogramowania z firmy ESET, jako pierwszy odkrył zagrożenie DoubleLocker atakujące telefony z systemem Android. Ten ransomware potrafi zmienić nie tylko kod PIN urządzenia, uniemożliwiając do niego dostęp, a także zaszyfrować cenne dane, żądać okupu za ich odblokowanie.

DoubleLocker rozpowszechniany jest za pośrednictwem stron internetowych udostępniających fałszywą wersję aplikacji Adobe Flash Player. Wirus żąda od właściciela telefonu aktywacji usługi ułatwień dostępu o nazwie „Google Play Service”, a następnie - bez zgody użytkownika - wykorzystuje uzyskane uprawnienia administratora, ustawiając siebie jako domyślną aplikację. Jak wskazują eksperci z ESET, jest to trik, który sprawia, że zagrożenie jest uruchamiane wraz z każdym naciśnięciem przycisku „Home”.

Kamil Sadkowski, analityk zagrożeń z firmy ESET, wyjaśnił, że wirus wykorzystuje bardzo złożony sposób szyfrowania danych, którego praktycznie nie da się obejść.

"

Zagrożenie wykorzystuje bardzo silną metodę szyfrowania (algorytm AES), dlatego nie ma możliwości odzyskania plików bez wykorzystania klucza szyfrującego, uzyskanego wcześniej od twórców DoubleLockera. Odradzam jednak wpłacanie jakichkolwiek środków, nie ma bowiem żadnej gwarancji, że uda się uzyskać stosowny klucz po wpłaceniu okupu lub że wspomniany klucz będzie prawidłowy. "

Jest też bardzo smutna wiadomość dla tych, którzy złapali już wirusa. Jeśli Twój telefon padł ofiarą DoubleLockera najprawdopodobniej danych nie uda Ci się odzyskać. Pomocne mogą się tutaj okazać posiadanie zaktualizowanego oprogramowania antywirusowego oraz kopii zapasowej danych, ale nawet to w pełni nie gwarantuje przywrócenia treści przechowywanych w telefonach.

Informatycy z ESET ustalili jednak, że jest to możliwe za pomocą tzw. roota, czyli konta administracyjnego w smartfonie, które pozwala zarządzać m.in. plikami systemowymi. Należy wtedy połączyć się z urządzeniem przez kabel USB (interfejs ADB) i usunąć plik systemowy, w którym przechowywany jest kod PIN. Ta operacja odblokuje ekran, a tym samym urządzenie. Następnie, pracując w trybie awaryjnym, użytkownik może dezaktywować uprawnienia administratora przydzielone złośliwemu oprogramowaniu i je odinstalować. Aby całkowicie pozbyć się złośliwego oprogramowania należy zaraz po odzyskaniu dostępu do urządzenia przywrócić je do ustawień fabrycznych. W niektórych przypadkach konieczne jest ponowne uruchomienie urządzenia. 

Wielki problem z wirusami

To nie pierwszy wirus, który może wyrządzić ogromne zniszczenia w naszych telefonach. W grudniu 2016 roku pisaliśmy m.in. o Gooliganie, ochrzczonym mianem najgroźniejszego wirusa na Androida. Przejmował on kontrolę nad telefonem i w ukryciu instaluje na nim kolejne aplikacje, może także bez ograniczeń korzystać ze sklepu Google Play i Gmaila. Wielu użytkowników nie radziło sobie także z Faketokenem, który podszywał się pod sklep Google Play oraz z groźnym wirusem, który instalował się podczas odbierania wiadomości od znajomych na Facebooku i szyfrował dane na dysku.

Justyna Kierzkowska
Tagi: #Mobile