Theo các nhà nghiên cứu tại ESET, những người phát hiện ra DoubleLocker, ransomware này được phân phối thông qua các trang web bị xâm nhập và ngụy trang như một ứng dụng Adobe Flash Player.
Nó sẽ yêu cầu nạn nhân cấp quyền truy cập để kích hoạt quyền quản trị và đặt nó trở thành ứng dụng mặc định. Điều này cho phép nó tự kích hoạt mỗi khi người dùng nhấn vào nút Home.
"Việc tự đặt mình như một ứng dụng mặc định - một trình khởi chạy - là thủ thuật của phần lớn phần mềm độc hại. Bất cứ khi nào người dùng nhấn vào nút Home, ransomware sẽ được kích hoạt và thiết bị sẽ bị khóa.
Ngoài khóa điện thoại, nó còn thay đổi mã PIN và mã hóa tất cả dữ liệu. Điều này khiến nạn nhân không thể lấy dữ liệu hoặc truy cập vào điện thoại mà phải trả tiền chuộc", Lukáš Štefanko, một trong những nhà nghiên cứu tại ESET, cho biết.
Một khi mã PIN thay đổi thì gần như nạn nhân lẫn chuyên gia bảo mật đều không thể truy xuất dữ liệu hoặc thiết lập lại mã PIN. Do đó, nó sẽ mã hóa tất cả dữ liệu được lưu trữ trong thiết bị bằng cách sử dụng thuật toán mã hóa AES.
"Việc mã hóa được thực hiện đồng nghĩa với việc không có cách nào lấy lại được các tập tin trừ khi nhận được mã khôi phục từ kẻ tấn công", Štefanko nói.
DoubleLocker được sáng tạo dựa trên các đặc điểm của một trojan và thu lợi nhuận bằng cách "đòi tiền chuộc". Đây là một "phần mềm độc hại hai cấp", vừa cố gắng quét sạch tài khoản PayPal của nạn nhân, vừa đồng thời khóa thiết bị và dữ liệu hoàn toàn. Nói cách khác, nạn nhân sẽ không thể truy cập vào dữ liệu, bao gồm cả tài khoản ngân hàng, trừ khi việc thanh toán tiền chuộc được thực hiện.
Štefanko cũng cho biết thêm là nhóm của ông đã phát hiện ra một phiên bản thử nghiệm của một phần mềm độc hại có cách thức đòi tiền chuộc tương tự như thế vào tháng 5-2017.
Hacker đứng sau DoubleLocker đòi tiền chuộc là 0,0130 bitcoin (tương đương 54 USD) và nạn nhân phải trả trong vòng 24 giờ. Nếu thanh toán tiền chuộc không được thực hiện trong vòng 24 giờ, dữ liệu sẽ không bị xóa, mà thay vào đó vẫn tiếp tục bị mã hóa.
Ngoài việc trả tiền chuộc và lấy mã khôi phục từ tin tặc, cách duy nhất mà nạn nhân có thể xóa sạch thiết bị bị nhiễm DoubleLocker là thực hiện khôi phục cài đặt gốc.
"Sự xuất hiện của DoubleLocker sẽ là lý do khiến người dùng điện thoại di động cần có một giải pháp an ninh chất lượng, cũng như cài đặt và sao lưu dữ liệu một cách thường xuyên", Štefanko nói.
Theo tuoitre.vn