Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam.

DoubleLocker - một loại Android ransomware  mới xuất hiện được phát hiện ngày 13/10/2017, không những mã hóa dữ liệu của người dùng mà còn khóa thiết bị android bằng cách thay đổi mã PIN màn hình khóa. Ransomware này chiếm quyền điều khiển dịch vụ truy cập của Android để dành quyền quản trị và kích hoạt lại chính nó mỗi khi người dùng nhấn nút Home của điện thoại. DoubleLocker yêu cầu 0,013 Bitcoin tiền chuộc (khoảng $70 vào thời điểm của bài viết). Các tệp bị mã hóa với tên file mở rộng là .cryeye,  CryEye cũng là tên của một tác giả phần mềm độc hại đã sửa đổi một phiên bản trojan ngân hàng Svpeng và đã bán nó trên các diễn đàn hack vào tháng Tám vừa qua.

Thật vậy, sau khi phân tích DoubleLocker, ransomware này có code gần giống với trojan banking Svpeng Android nổi tiếng, một trong những dòng phần mềm độc hại Android lâu đời nhất và sáng tạo nhất. Qua nhiều năm, Svpeng là trojan banking Android đầu tiên có khả năng:  Ăn cắp tiền từ tài khoản ngân hàng của người dân thông qua các dịch vụ quản lý tài khoản SMS, Che phủ màn hình đăng nhập giả mạo trên các ứng dụng ngân hàng hợp pháp, Thay đổi mã PIN, khóa thiết bị và yêu cầu tiền chuộc (tính năng giống như ransomware).

Phương thức lây nhiễm:

Để lây nhiễm, người dùng thường bị lừa để cài đặt ứng dụng độc hại trên thiết bị android, lúc đó ứng dụng yêu cầu quyền truy cập vào dịch vụ trợ năng (Accessibility service). Sau khi người dùng cấp cho ứng dụng quyền truy cập này, dịch vụ truy cập cho phép ứng dụng độc hại bắt chước người dùng. Ứng dụng lạm dụng tính năng này để truy cập cài đặt Android và cấp quyền quản trị viên cho chính nó. Sau đó, DoubleLocker bắt đầu hành vi nguy hiểm bằng cách khóa mã PIN của người dùng bằng mã PIN ngẫu nhiên và mã hóa tất cả các tệp trên thiết bị lưu trữ chính của phương tiện với thuật toán mã hóa AES. DoubleLocker hiện là một trong số rất ít ransomware Android thực sự mã hóa các tập tin vì hầu hết các Android ransomware chỉ khóa màn hình của người dùng.

Hành vi đặc biệt trong phương thức của DoubleLocker là nó tự kích hoạt lại chính nó mỗi khi người dùng nhấn nút Home của thiết bị Android vì DoubleLocker đã thiết lập chính nó như là trình khởi chạy ứng dụng mặc định trên thiết bị để đảm bảo người dùng không thể bỏ qua màn hình khóa. Nếu người dùng bỏ qua màn hình khóa thông qua nhiều cách khác nhau thì sau khi nhấn lại nút Home thì DoubleLocker sẽ khởi động lại giá chuộc và gián tiếp khóa lại thiết bị. DoubleLocker cũng không gửi mã PIN hoặc khóa mã hóa của thiết bị cho các tác giả, nhưng nếu sau khi thanh toán tiền chuộc, kẻ tấn công có thể đặt lại PIN và mở khóa thiết bị từ xa.

Nếu thiết bị android của bạn bị nhiễm DoubleClocker Ransomware:

1. Với dữ liệu: Không có cách nào để mở các tập tin mã hoá.

2. Với các thiết bị không root, người dùng có thể thiết lập lại điện thoại (factory reset) để mở khóa điện thoại.

3. Với các thiết bị Android đã root và đã bật chế độ gỡ lỗi, có thể sử dụng công cụ Android Debug Bridge (ADB) để đặt lại PIN mà không cần reset lại thiết bị.

Cách tốt nhất để tự bảo vệ mình khỏi ransomware là luôn tải xuống các ứng dụng từ nguồn đáng tin cậy như Google CH Play. Ngoài ra, không bao giờ nhấp vào liên kết được cung cấp trong tin nhắn SMS hoặc email. Ngay cả khi email có vẻ hợp pháp, hãy chuyển trực tiếp tới trang web xuất xứ và xác minh kỹ các bản cập nhập. Cuối cùng, hãy sử dụng một ứng dụng chống vi-rút tốt trên điện thoại thông minh để có thể phát hiện và chặn các phần mềm độc hại.

Tỷ lệ phát hiện DoubleLocker Ransomware trên VirusTotal: https://goo.gl/ywf8jH

Xem thêm: Mã trojan banking Svpeng trên VirusTotal: https://goo.gl/AWQfgthttps://goo.gl/6ZNxoE

Công ty TNHH Tin Học Đô Nguyên
134/2B Thành Thái - Phường 12 - Quận 10 - Hồ Chí Minh - Việt Nam
Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam. © 2018