lunedì 7 novembre 2016

ANDROID.LOCKSCREEN: blocca il tuo Android e chiede un riscatto per sbloccarlo



E' stata rilevata una nuova versione di Android.Lockscreen, uno dei pochi ransomware che colpisce i dispositivi Android. Il ransomware era già stato rilevato nel 2015, ma ha in seguito subito modifiche per affinare la capacità di ingannare gli utenti ed ampliamenti costanti di funzioni.

Le prime versioni erano facilmente risolvibili in quanto entro l'app si trovava una password codificata utile per lo sblocco del dispositivo: ai ricercatori di sicurezza è bastato decodificare la password per avere la possibilità di sbloccare tutti i dispositivi infetti. Al contrario, le versioni successive invece erano dotate di un algoritmo di generazione di password casuali, diverse quindi di volta in volta per ogni dispositivo infetto, complicando di non poco la vita dei ricercatori.

Come si diffonde
Viene diffuso tramite tecniche di ingegneria sociale (ovvero tecniche di inganno cucite su misura su fasce e tipologie specifiche di utenti) volte a convincere l'utente a scaricare l'app dannosa, che solitamente si spaccia per app di utilità di vario genere.

Come infetta il dispositivo.
Con Adroid 3.1 sono state introdotte ulteriori misure di sicurezza volte a ridurre i danni dovuti all'installazione di app dannose: si impedisce cioè l'avvio automatico di una nuova app a meno che questa non sia stata lanciata almeno una volta manualmente dall'utente.
Questa versione del ransomware quindi, per aggirare il problema, si spaccia per un launcher, di modo che quando l'utente preme il pulsante home, il componente principale del ransomware viene visualizzato come alternativo al launcher predefinito del SO Andorid (vedi foto), col nome di Android. In realtà i componenti legittimi si chiamano semplicemente  Launcher oppure, in quelli più recenti, Google Now Lanucher, quindi attenzione: non fatevi trarre in inganno!

Questo si verifica comunque quanto l'app è stata già installata sul dispositivo, ma non ancora avviata manualmente dall'utente.

Una volta che è stata lanciata manualmente sul dispositivo, la app malevola induce l'utente a concedergli privilegi amministrativi ingannandolo attraverso una falsa finestra di installazione di patch di sistema. Se l'utente preme il comando “Continua” consente al malware di di modificare una lunga serie di impostazioni e di impedire l'accesso al dispositivo tramite una schermata di blocco.

A questo punto compare un messaggio che informa la vittima che per ottenere la password per sbloccare il dispositivo occorre mettersi in contatto con gli sviluppatori del ransomware e pagare un riscatto.

Alcuni consigli utili:
- Non scaricare app da store non ufficiali
- Mantieni aggiornato il sistema operativo Android
- Fai molta attenzione alle richieste di privilegi/accessi che vengono mostrare dalle app al momento dell'installazione.
- Fai backup costanti dei tuoi dati più importanti.
- Un buon antivirus per Android sarà capace di individuare l'app e bloccarla

Nessun commento:

Posta un commento