Qualcuno pagherà mai il riscatto di questo ransomware?

Feb 08, 2017 Marco Schiaffino Malware, News, RSS 0

Lockdroid blocca il telefono e chiede un riscatto per lo sblocco. Ma è probabile che le vittime preferiscano resettare il telefono. Ecco perché.

I pirati informatici che cercano di riempirsi le tasche con i ransomware cercano costantemente di aggiornare i loro malware per renderli sempre più efficaci e difficili da individuare per i software antivirus.

Come accade anche nel mondo delle aziende, però, non sempre le innovazioni che si introducono hanno successo. Ad accorgersene saranno anche gli autori di Lockdroid, un ransomware per sistemi Android che i cyber-criminali hanno recentemente aggiornato.

Lockdroid è un ransomware che blocca il telefono della vittima e chiede un riscatto per la “restituzione” del dispositivo.

Nella nuova versione del malware, individuata e analizzata da Symantec, i pirati hanno introdotto alcune modifiche tecniche che prendono ispirazione da quelle usate per gli attacchi ai classici computer. Utilizzano infatti un dropper, cioè un vettore di infezione che, prima di installare il ransomware, esegue delle verifiche sul dispositivo colpito.

Nel dettaglio, il dropper controlla se il telefono su cui è stato avviato è stato sottoposto a rooting o meno. Nel caso in cui la verifica sia negativa, blocca il telefono e visualizza la richiesta di riscatto. Il blocco, però, in questo caso è piuttosto “debole” e può essere aggirato senza troppi problemi.

Se invece il dispositivo è stato sottoposto a rooting, il dropper visualizza una richiesta per ottenere i privilegi di amministratore. Per invogliare la potenziale vittima a concedere i permessi, promette la possibilità di accedere a migliaia di fotografie pornografiche.

Il dropper copia il file APK sul telefono e ne imposta l’esecuzione a ogni avvio del sistema.

Se la vittima acconsente, il dropper esegue una serie di modifiche che gli permettono di impostare il ransomware come un’applicazione di sistema che viene avviata automaticamente all’accensione del dispositivo. Chi si trova lo smartphone bloccato con questa seconda modalità, quindi, ha due scelte: cedere all’estorsione o resettare il telefono.

Fin qui, le trovate dei pirati informatici sembrano decisamente funzionali al loro obiettivo: forzare la vittima a pagare il riscatto per riavere il controllo del dispositivo.

Quello che rischia di rendere ben poco efficace Lockdroid, però, è il metodo con cui la vittima dovrebbe pagare. Al posto di visualizzare un link sotto forma di testo, infatti, i pirati hanno pensato bene di inserire il collegamento in un QR Code.

Schermo bloccato con un QR Code che permette di pagare il riscatto. Ma per aprire il collegamento serve un altro dispositivo con fotocamera e app per il codice a barre…

Questo significa che, per aprire il collegamento e pagare il riscatto la vittima dovrà usare un altro dispositivo che sia in grado di leggere il codice a barre, tipicamente uno smartphone. Ma quante probabilità ci sono che la vittima abbia due dispositivi mobili a portata di mano? Poche.

A peggiorare la situazione, c’è il fatto che nella schermata di blocco gli autori del malware hanno avuto la bella pensata di inserire un’immagine piuttosto “esplicita” che tradisce la natura dell’app. Una tecnica che viene spesso usata per disincentivare la vittima dal rivolgersi a società antivirus o esperti, facendo leva sulla vergogna provata per ammettere di aver installato un’app a tema pornografico.

Peccato che lo stesso meccanismo, in questo caso, contribuisce a scoraggiarla dal chiedere in prestito il cellulare a un amico o a un famigliare per pagare il riscatto.

Insomma: per come viene proposto il pagamento, è molto probabile che le vittime di Lockdroid scelgano di resettare il telefono piuttosto che trovarsi a dover dare spiegazioni che non hanno nessuna voglia di dare.

Condividi l'articolo