Si tu teléfono es Android, evita descargar cualquier tipo de software de Adobe Flash Player o lo que sea que se le parezca, especialmente desde páginas web no seguras. La compañía de seguridad informática ESET ha descubierto un nuevo tipo de ransomware que ataca gravemente a los móviles con este sistema activo.

DoubleLocker está basado en un troyando bancario, por lo que en primera instancia vendimia las credenciales bancarias o de PayPal de los usuarios para pincharse sus cuentas o incluso eliminarlas.

Además, es capaz de resumir los datos de accesibilidad del dispositivo infectado para luego cambiar el número de PIN. Así, los usuarios no pueden ingresar a su equipo hasta fertilizar el rescate adeudado por los ciberdelincuentes.

El nuevo PIN es establecido con cojín en un valía imprevisible, por lo que no se almacena en el dispositivo ni se envía a otro sitio. Es por esto que ni el afortunado ni un perito en seguridad pueden recuperarlo. Tras realizarse el suscripción de la perjuicio, el ciberdelincuente restablece el PIN vía remota y desbloquea el equipo.

El monto del rescate solicitado es de 0.0130 Bitcoins y se debe hacer en el interior de las primeras 24 horas. De lo contrario, los datos permanecerán cifrados pero no serán borrados.

De acuerdo con los investigadores de la empresa en seguridad informática, es la primera vez que se ha creado un malware para Android que combine tanto el secreto de datos como el cambio de PIN.

“Debido a sus raíces de amenaza bancaria, DoubleLocker perfectamente podría convertirse en lo que podemos acentuar ransom-bankers. Es un malware que funciona en dos etapas. Primero proxenetismo de pincharse tu cuenta bancaria o de PayPal y luego bloquea tu dispositivo e información para solicitar el suscripción del rescate. Dejando las especulaciones de banda, la primera vez que vimos una lectura de prueba de un ransom-banker de este tipo fue en mayo de 2017″, comentó Lukáš Štefanko, quien descubrió DoubleLocker.

El ransomware se propaga a través de las descargas de un Adobe Flash Player infiel desde webs comprometidas y se instala a sí mismo luego de que se le otorge el paso a través del servicio Google Play.

Una vez que obtiene los permisos de accesibilidad, activa los derechos de administrador del teléfono y se establece como una aplicación de Inicio (Home) por defecto sin el consentimiento del afortunado.

“Establecerse a sí mismo como una aplicación de Inicio por defecto (un launcher) es un truco que mejora la persistencia del malware. Cada vez que el usuario hace clic en el botón Inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias al uso del servicio de accesibilidad, el usuario no sabe que ejecuta malware pulsando Inicio”, explicó Štefanko.

Los investigadores de ESET muestran en el video a continuación cómo funciona este ransomware:

¿Cómo protegerte de DoubleLocker?

La recomendación de Stefanko es realizar el reinicio de taller del dispositivo. Sin secuestro, es posible aventajar el aislamiento del PIN sin pobreza de reiniciarlo en smartphones conectados, sólo si estaban en modo de depuración antaño de que se activara el ransomware. En ese caso, el afortunado puede conectarse a través de ADB y eliminar el archivo del sistema que almacena el PIN. Con esto se desbloquea la pantalla y se puede ingresar.

También se pueden desactivar los derechos de administrador del teléfono inteligente para el malware y desinstalarlo. Para ello, a veces es necesario reiniciarlo.