Una nueva amenaza descubierta por la firma de Seguridad ESET que se aprovecha de la configuración de Accesibilidad y el primero que utiliza dos diferentes estrategias: cifrado de datos y cambio del Pin del terminal Android. El malware se llama DoubleLocker y en este momento lo están distribuyendo en una versión falsa de Adobe Flash Player.
Este malware del tipo ransomware una vez instalado y ejecutado por primera vez se convierte en el lanzador de aplicaciones predeterminado, a la vez que toma control de los servicios de accesibilidad.
ESET explica que al convertirse en el lanzador de aplicaciones mejora sus posibilidades de persistencia en el terminal, ya que cada vez que el usuario toca el botón de inicio, activa el ransomware y el terminal vuelve a bloquearse. El usuario mismo activa el malware al tocar el botón de inicio debido al uso del malware de los servicios de accesibilidad.
De acuerdo a ESET lo primero que hace una vez activado es cambiar el PIN del dispositivo, el cual no es almacenado en el dispositivo, por lo cual no hay forma de determinar cual es. Pero si por esas cosas de la «suerte» logran determinar cual es el PIN, con DoubleLocker los usuarios tienen un segundo escollo que es el cifrado de los datos (Ransomware) por el cual si no pagaron por el rescate del PIN, en teoría deberán pagar por el rescate de los datos cifrados.
ESET también ofreció algunas soluciones para eliminar DoubleLocker del terminal, pero si bien en un caso es muy fácil recuperar el control, si tienen datos importantes en el terminal los podrían perder y en el otro caso la solución se da si se dan algunas condiciones previas a la infección, algo difícil especialmente si son usuarios comunes que no realizan tareas técnicas con el terminal. En este último caso tampoco se podrán recuperar los datos si no tienen un respaldo previo de los mismos.
Por ejemplo la solución más simple es Restablecer Valores Predeterminados de fábrica, lo que implica perder todos sus datos si es que no tienen un respaldo de los mismos. La segunda solución ofrecida por ESET no requiere de restablecer valores predeterminados de fábrica y se da en dispositivos que tienen acceso raíz (root), pero en este caso antes de que se haya instalado el ransomware el terminal debería de haber estado en modo debug. Si esto último se da, el usuario se puede conectar al dispositivo vía ADB y puede remover el fichero del sistema donde Android guarda el PIN, lo cual desbloquea la pantalla para que el usuario pueda acceder al dispositivo y luego en Modo Safe se podrá desactivar los derechos de administrador del dispositivo y así podrán desinstalar el malware.