Ransom Banker DoubleLocker Eksploitasi Aksesibilitas Android

Belakangan berita mengenai ransomware memang agak menurun, tapi bukan berarti mereka menurunkan kinerja. Serangan ransomware tidak pernah berhenti, terbukti dengan penemuan baru ini. Untuk pertama kalinya ditemukan ransomware yang menyalahgunakan layanan aksesibilitas Android, selain mengenkripsi data dan mengunci perangkat.

Peneliti ESET Lukas Stefanko yang pertama kali menemukan jenis ransomware ini, mendeteksi kehadiran ransomware Android sebagai Android/DoubleLocker.A yang berbasis pada trojan perbankan, yang menyalahgunakan layanan aksesibilitas dari sistem operasi Android.

Namun, DoubleLocker tidak memiliki fungsi yang terkait dengan penyimpanan kredensial pengguna perbankan dan menghapus akun mereka. Sebagai gantinya, ia memiliki dua teknik canggih untuk memeras uang korbannya.

DoubleLocker dapat mengubah PIN perangkat, mencegah korban mengakses perangkat mereka, dan juga mengenkripsi data yang ditemukannya, kombinasi yang belum pernah terlihat sebelumnya di ekosistem Android.

Dengan akar malware perbankannya, DoubleLocker mungkin akan berubah menjadi apa yang bisa disebut Ransom Banker. Malware ini mempunyai dua tahapan, yang pertama mencoba menguras rekening bank atau PayPal korban dan kemudian mengunci perangkat dan data korban untuk meminta uang tebusan.

Peneliti keamanan siber ESET, Lukas Stefanko yang menemukan DoubleLocker mengatakan bahwa versi uji coba ransom banker jauh hari sejak bulan Mei tahun 2017.

Cara Kerja DoubleLocker

DoubleLocker menyebar dengan cara yang sama seperti induknya, malware perbankan. Didistribusikan sebagian besar sebagai Adobe Flash Player palsu melalui situs web yang dikompromikan.

Setelah diluncurkan, aplikasi meminta aktivasi layanan aksesibilitas malware, yang diberi nama “Google Play Service”. Setelah malware mendapatkan izin aksesibilitas, mereka menggunakannya untuk mengaktifkan hak administrator perangkat dan menetapkan dirinya sebagai aplikasi home default, semua terjadi tanpa sepengetahuan pengguna.

Menetapkan dirinya sebagai aplikasi home default adalah trik yang meningkatkan persistensi malware. Setiap kali pengguna mengklik tombol home, maka ransomware akan diaktifkan dan perangkat terkunci kembali. Berkat penggunaan layanan aksesibilitas, pengguna tidak tahu bahwa mereka meluncurkan malware dengan menekan Home.

Jebakan Ganda

DoubleLocker yang sudah diaktivasi di dalam perangkat yang terinfeksi, mempunyai keahlian ganda untuk memeras korban dua kali, memaksa korban mau tidak mau membayar dua kali lipat.

Pertama, ia mengubah PIN perangkat, yang secara efektif menghalangi korban untuk menggunakannya. PIN baru dibuat acak hanya pelaku yang mengetahui, jadi tidak mungkin bagi pengguna atau pakar keamanan untuk memulihkannya. Setelah uang tebusan dibayarkan, pelaku dapat mengatur ulang PIN dan membuka kunci perangkat dari jarak jauh.

Kedua, DoubleLocker mengenkripsi semua file dari direktori penyimpanan utama perangkat. Menggunakan algoritma enkripsi AES, menambahkan ekstensi “.cryeye”. Enkripsi diimplementasikan dengan benar, yang berarti belum ada cara untuk memulihkan file tanpa menerima kunci enkripsi dari pelaku.

Uang tebusan telah ditetapkan menjadi 0,0130 BTC sekitar USD 54 atau setara dengan 747 ribu rupiah dan pesannya menyoroti bahwa pembayaran harus dibayar dalam waktu 24 jam. Namun, jika uang tebusan tidak dibayar, data akan tetap dienkripsi dan tidak akan dihapus.

Cara Menghapus DoubleLocker

Dalam catatan tebusan, pengguna diperingatkan untuk tidak menghapus atau memblokir DoubleLocker. Tanpa software tersebut, jangan pernah berharap bisa mengembalikan file asli seperti semula.

Untuk mencegah penghapusan “software” yang tidak diinginkan, pelaku bahkan merekomendasikan untuk menonaktifkan perangkat lunak antivirus pengguna. Saran seperti itu tidak relevan: semua yang memiliki solusi keamanan berkualitas yang terpasang pada perangkat mereka aman dari DoubleLocker.

Satu-satunya pilihan untuk membersihkan perangkat ransomware DoubleLocker adalah melalui reset pabrik. Namun, untuk perangkat yang sudah di-root, ada metode untuk melewati kunci PIN tanpa perlu disetel ulang pabrik. Agar metode ini bekerja, perangkat harus berada dalam mode debug sebelum ransomware diaktifkan.

Jika kondisi ini terpenuhi, pengguna dapat terhubung ke perangkat oleh ADB dan menghapus file sistem tempat PIN disimpan oleh Android. Operasi ini membuka layar sehingga pengguna dapat mengakses perangkat mereka. Kemudian, menggunakan Safe Mode pengguna dapat menonaktifkan hak administrator perangkat untuk malware dan mencopot pemasangannya. Dalam beberapa kasus, reboot diperlukan untuk memastikan malware terhapus.

Info dan pembelian www.tokoeset.com email: eset.sales@eset.co.id

Sumber berita:

WeLive Security