DoubleLocker ya da DoubleLocker.A , ESET yazılımcıları tarafından tespit edilen ve Android işletim sistemini hem veri erişilebilirliği, hem de cihaz erişilebilirliği anlamında tehdit eden, bankacılık trojeni kökenli bir fidye yazılım. Ancak şuan için kurbanların banka kimlik ve hesap bilgileri üzerinde bir işleve sahip değil. Sadece cihaz erişmelerini engelleyerek, cihazın PIN kodunu değiştirebiliyor ya da Android ekosisteminde daha önce hiç görülmemiş bir kombinasyon ile verileri şifreleyebiliyor.
DoubleLocker Nasıl Yayılıyor?
DoubleLocker ele geçirilen web siteleri aracılığıyla sahte bir “Adobe Flash Player” üzerinden yayılıyor. Sahte Flash Player başlatıldıktan sonra “Google Play Services” olarak adlandırılmış, kötü amaçlı yazılımın erişilebilirlik sisteminin etkinleştirilmesi isteniyor. Etkinleştirme işlemi gerçekleştikten sonra yazılım, bu izinleri kendisine cihazın yönetici haklarını vermek için kullanıyor.
Bu aşamadan sonra DoubleLocker, kurbanlarının fidye ödemesi için iki sebep yaratıyor. Bunlardan birincisi, cihazın PIN kodu değiştirilerek, kullanılmasının engellenmesi. Bu yöntemde belirlenin yeni PIN kodu, saldırganların hiçbir yerde saklamadığı, rasgele bir değere ayarlandığından, kullanıcılar tarafından belirlenmesi hemen hemen imkânsız.
İkinci sebep ise aygıtın birincil depolama dizinindeki tüm dosyaları şifrelenmesidir. İlgili dosyalar AES şifreleme algoritması kullanılarak şifrelenir ve dosyalara “.cryeye” uzantısı eklenir. ESET malware araştırmacısı Lukas Stefanko’ya göre, bu noktada şifreleme düzgün bir şekilde gerçekleştirildiyse, ne yazık ki saldırganların şifreleme anahtarı olmadan dosyaların kurtarılmasının herhangi bir yolu yok.
Bu iki durumda da saldırganların sunduğu tek çözüm yolu fidye ödemesinin gerçekleştirilmesi. Fidye, 0.0130 Bitcoin’e (Yani bu yazının yayımlandığı tarihte yaklaşık olarak 74 $) ayarlanmış ve 24 saat içerisinde ödenmesi gerektiği vurgulanıyor. Ancak fidyenin ödenmesi ile cihaz erişiminin tekrar sağlanabileceğinin bir garantisi olmadığını da belirtmekte fayda var.
DoubleLocker’dan Kurtulma Yolları
Peki, DoubleLocker’dan kurtulma yolu var mıdır? DoubleLocker fidye virüsünden kurtulmanın tek uygun yolu şuan için sadece cihazın fabrika ayarlarına sıfırlanması olarak görünüyor.
Ancak welivesecurity.com’a göre root edilmiş ve debugging modunda olan cihazlar için, PIN kilidini fabrika ayarlarına sıfırlamadan alt etmenin bir yöntemi bulunuyor. DoubleLocker bulaşmış cihaz bu parametrelerden her ikisini de sağlıyorsa “Android Debug Bridge” (ADB) ile cihaza erişilerek PIN kodunun depolandığı sistem dosyası kaldırılabilir.
Bu noktada, Adobe’un 2012 yılında mobil cihazlardaki geliştirmelerine son verdiğini ve Flash’ı Google Play Store’dan kaldırdığını hatırlatarak, sizlerin de Android cihazlarınızı kullanırken bu tehlikeye karşı dikkatli olmanızı tavsiye ederiz.