DoubleLocker: Ransomware para Android

Investigadores de ESET descubrieron al primer ransomware que se aprovecha de los servicios de accesibilidad para Android. Además de cifrar la información, es capaz de bloquear el dispositivo.

Las soluciones de ESET lo detectan como Android/DoubleLocker.A y está basado en el código de un troyano bancario, conocido por utilizar con fines maliciosos los servicios de accesibilidad del sistema operativo móvil de Google. Sin embargo, le faltan las funciones relacionadas a la recolección de credenciales bancarias de los usuarios y el vaciado de sus cuentas. En cambio, se le añadieron dos poderosas herramientas para extorsionar a sus víctimas en busca de dinero.

DoubleLocker puede cambiar el PIN del dispositivo, evitar que las víctimas accedan al mismo y también cifrar la información que encuentra en él; una combinación que no se ha visto hasta la fecha en el ecosistema Android.

“Debido a sus raíces de amenaza bancaria, DoubleLocker bien podría convertirse en lo que podemos llamar ransom-bankers. Es un malware que funciona en dos etapas. Primero trata de vaciar tu cuenta bancaria o de PayPal y luego bloquea tu dispositivo e información para solicitar el pago del rescate. Dejando las especulaciones de lado, la primera vez que vimos una versión de prueba de un ransom-banker de este tipo in the wild fue en mayo de 2017?, comentó Lukáš Štefanko, investigador de malware de ESET que descubrió a DoubleLocker.

Distribución del ransomware

DoubleLocker se propaga exactamente igual que aquel troyano en el que está basado. Se distribuye generalmente a través de una versión falsa de Adobe Flash Player, subida a sitios web comprometidos.


Una vez ejecutada, la app solicita la activación del servicio de accesibilidad del malware, llamado “Google Play Service” para engañar a los usuarios, que podrían creer que se trata de un servicio legítimo de Google. Luego de que el malware obtiene los permisos de accesibilidad, los usa para activar los derechos de administrador del dispositivo y se establece a sí mismo como aplicación de Inicio (Home) por defecto, en ambos casos sin el consentimiento del usuario.
Así es como funciona:

“Establecerse a sí mismo como una aplicación de Inicio por defecto (un launcher) es un truco que mejora la persistencia del malware. Cada vez que el usuario hace clic en el botón Inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias al uso del servicio de accesibilidad, el usuario no sabe que ejecuta malware pulsando Inicio”, explicó Lukáš Štefanko.

Double Locker Ransomware se distribuye principalmente a través de archivos adjuntos de correo electrónico no deseado, a través de kits de explotación, intercambio peer-to-peer de una red, descarga de freeware y shareware, visitas a sitios sospechosos y mucho más. Según el mensaje de rescate, los delincuentes cibernéticos demandan dinero de rescate en forma de Bitcoins a cambio de la clave de descifrado y alientan a los usuarios a comprarlo desde la dirección de la billetera designada. La clave de descifrado se almacena en el servidor de los delincuentes cibernéticos. También pueden advertir a los usuarios que si no realiza el pago en un momento determinado y desea eliminar este virus, perderá su archivo de forma permanente. Después de la infiltración, Double Locker Ransomware hace nuevas entradas de registro en el Registro de Windows para lograr una persistencia de alto nivel que puede permitir otras amenazas de malware en el sistema. También puede bloquear Window Firewall y otras herramientas de seguridad para que no se detecten.

Bloqueo del dispositivo y de su información

Una vez ejecutado en el dispositivo, DoubleLocker le da a la víctima dos razones para pagar el rescate, y de ahí viene su nombre. Cabe destacar que desde ESET no recomendamos pagarlo en ningún caso.

Primero, cambia el PIN del equipo, de manera que la víctima no puede usarlo. El nuevo código PIN se establece en base a un valor aleatorio, que no se almacena en el dispositivo ni se envía a otro lado, por lo que es imposible que el usuario o un experto en seguridad lo recupere. Luego de que se hace el pago, el atacante puede restablecer el PIN remotamente y desbloquear el dispositivo.

Segundo, DoubleLocker cifra todos los archivos del directorio principal de almacenamiento. Usa el algoritmo AES, añadiéndoles la extensión “.cryeye”.

El monto del rescate solicitado es 0.0130 BTC (aproximadamente 54 dólares) y el mensaje remarca que se debe pagar en el transcurso de 24 horas. Sin embargo, si no se paga, los datos permanecerán cifrados pero no se borrarán, por lo que un backup podría ser de gran utilidad.

Lino Cisterna

CEO&Founder RevistaProware.com Aficionado a las Ciencias & Tecnologías, Física Teórica, (G)Astronomía, Sociología, Psicología, Teorías de Tecnologías (AAT).

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *