DoubleLocker - Mối đe dọa ransomware tinh vi nhắm vào thiết bị Android của bạn

Trong khi có vô số ứng dụng hỗ trợ tùy chỉnh khóa màn hình Android, người dùng cần cực kỳ cảnh giác với DoubleLocker - loại ransomware độc hại ẩn mình dưới lớp vỏ ứng dụng hợp pháp.

Khác với các ransomware thông thường chỉ mã hóa dữ liệu, DoubleLocker còn thay đổi mã PIN thiết bị, tạo ra cơ chế khóa kép nhằm siết chặt nạn nhân và ép buộc trả tiền chuộc.

Theo báo cáo từ các chuyên gia ESET, DoubleLocker khai thác triệt để quyền truy cập thiết bị Android, trở thành loại ransomware đầu tiên áp dụng kỹ thuật khóa kép. Phiên bản thử nghiệm của nó có thể đã âm thầm hoạt động từ tháng 5, phát triển từ mã độc nhắm vào ngân hàng trước đó.

Mặc dù tập trung vào tống tiền nạn nhân, DoubleLocker không có khả năng xâm nhập vào thông tin tài khoản ngân hàng chi tiết được lưu trữ trên thiết bị di động, giới hạn mối đe dọa ở việc khóa thiết bị và mã hóa dữ liệu.

DoubleLocker ngụy trang tinh vi dưới bộ cài Adobe Flash Player giả mạo, khéo léo lợi dụng tính năng trợ năng để tự kích hoạt và chiếm quyền điều khiển nút Home mặc định trên thiết bị.

Lukáš Štefanko - chuyên gia phân tích mã độc tại ESET đồng thời là người đầu tiên phát hiện DoubleLocker - đã có những phân tích sâu sắc về cơ chế hoạt động của loại ransomware này.

Bằng thủ thuật tự đăng ký làm trình khởi chạy mặc định, DoubleLocker đạt được khả năng tồn tại bền bỉ. Mỗi lần người dùng nhấn nút Home vô tình kích hoạt ransomware mà không hề hay biết, nhờ việc lợi dụng triệt để dịch vụ Trợ năng để che giấu hành vi độc hại.

Khi đã xâm nhập thành công, bước đầu tiên DoubleLocker thực hiện là thay đổi mã PIN thiết bị thành dãy số ngẫu nhiên không thể đoán biết. Điểm đặc biệt là mật khẩu này không được lưu cục bộ, trở thành công cụ tống tiền hiệu quả. Chỉ sau khi nạn nhân chấp nhận chi trả, kẻ tấn công mới có thể reset mã PIN từ xa.

Lớp bảo vệ thứ hai đến từ thuật toán mã hóa AES mạnh mẽ, với dấu hiệu nhận biết là phần mở rộng '.ryry' được thêm vào các tập tin bị xâm phạm.

Chuyên gia Štefanko đặc biệt cảnh báo người dùng:

Quá trình mã hóa được thực hiện cực kỳ bài bản, khiến nạn nhân không có bất kỳ cơ hội nào khôi phục dữ liệu nếu không may bị nhiễm, trừ khi nhận được key giải mã từ chính kẻ tấn công.

Theo khuyến nghị từ ESET, nếu bạn đã có sẵn bản sao lưu dữ liệu trước đó, hoàn toàn có thể loại bỏ ransomware mà không cần phải nhượng bộ trước yêu cầu tống tiền của tin tặc.

Giải pháp tối ưu nhất để xóa sổ DoubleLocker chính là thực hiện factory reset - đưa thiết bị Android trở về trạng thái xuất xưởng ban đầu.

Độc giả có thể tham khảo chi tiết quy trình khôi phục cài đặt gốc cho thiết bị Android thông qua bài viết hướng dẫn chuyên sâu tại đây.

Với các thiết bị đã root, vẫn tồn tại giải pháp bypass mã PIN mà không cần reset toàn bộ hệ thống, với điều kiện thiết bị phải được kích hoạt chế độ Debugging từ trước khi bị nhiễm mã độc.

Nếu đáp ứng được điều kiện này, người dùng có thể kết nối qua ADB để xóa file hệ thống chứa mã PIN, từ đó mở ra cánh cửa tiếp cận thiết bị mà không cần phải trải qua quá trình khôi phục cài đặt gốc.

Người dùng có thể khởi động vào chế độ Safe Mode để thu hồi quyền quản trị thiết bị từ phần mềm độc hại và tiến hành gỡ bỏ hoàn toàn. Lưu ý rằng một số trường hợp có thể yêu cầu khởi động lại thiết bị để hoàn tất quá trình.

https://Tripi.vn/ransomware-doublelocker-21862n.aspx
Đáng tiếc rằng toàn bộ dữ liệu đã bị mã hóa trên thiết bị sẽ không thể khôi phục được bằng bất kỳ phương pháp thông thường nào.