Peneliti keamanan dari ESET telah menemukan ransomware Android baru yang tidak hanya mengenkripsi data pengguna, namun juga mengunci perangkat dengan mengubah PIN kunci layar. Dijuluki ransomware DoubleLocker, merupakan ransomware Android baru yang mampu mengenkripsi sekaligus merubah PIN perangkat.
Selain itu, ransomware DoubleLocker adalah ransomware pertama yang menyalahgunakan fitur aksesibilitas Android yang memberi pengguna cara alternatif untuk berinteraksi dengan perangkat smartphone mereka, dan sebagian besar disalahgunakan oleh trojan perbankan Android untuk mencuri kredensial perbankan.
“Dengan rooting malware perbankannya, DoubleLocker mungkin akan berubah menjadi apa yang bisa disebut ransomware banking,” kata Lukáš Å tefanko, peneliti malware di ESET.
“Malware multi-stage yang pertama kali mencoba menghapus akun bank atau PayPal Anda dan kemudian mengunci perangkat dan data Anda untuk meminta uang tebusan.”
Periset percaya bahwa ransomware DoubleLocker dapat ditingkatkan dengan kemampuan baru di masa mendatang untuk mencuri kredensial perbankan juga, selain menjadi ransomware.
Pertama kali terlihat pada bulan Mei tahun ini, ransomware ini menyebar sebagai pembaruan Adobe Flash palsu melalui situs web yang dikompromikan.
Inilah Cara Kerja Ransomware DoubleLocker
Setelah terinstal, malware meminta pengguna untuk mengaktifkan fitur aksesibilitas ‘Google Play Services’, seperti yang ditunjukkan dalam video demonstrasi.
Setelah mendapatkan izin aksesibilitas ini, malware tersebut menyalahgunakannya untuk mendapatkan hak administrator perangkat dan menetapkan dirinya sebagai aplikasi home-default (launcher) – semuanya tanpa sepengetahuan pengguna.
“Menetapkan dirinya sebagai aplikasi home-default – launcher- adalah trik yang meningkatkan persistensi malware,” kata Å tefanko.
“Setiap kali pengguna mengklik tombol home, maka ransomware akan diaktifkan, dan perangkat terkunci lagi. Berkat penggunaan layanan aksesibilitas, pengguna tidak tahu bahwa mereka meluncurkan malware dengan menekan Home.”
Setelah dieksekusi, ransomware ini pertama kali mengubah PIN perangkat menjadi nilai acak yang tidak diketahui penyerang maupun disimpan di manapun dan sementara itu malware mengenkripsi semua file dengan menggunakan algoritma enkripsi AES.
Ransomware DoubleLocker menuntut uang tebusah senilai dalam Bitcoin 0.0130 BTC (sekitar USD74,38 pada saat penulisan) dan mengancam korban untuk membayar uang tebusan dalam waktu 24 jam.
Jika uang tebusan dibayarkan, penyerang menyediakan kunci dekripsi untuk membuka enkripsi dan menyetel ulang PIN secara remote untuk membuka kunci perangkat korban.
Bagaimana Cara Agar Terhindar Dari Ransomware Seperti Ini?
Menurut para periset, sejauh ini tidak ada cara untuk membuka file terenkripsi, meskipun, untuk perangkat yang tidak di root, pengguna dapat menyetel ulang ponsel mereka untuk membuka kunci telepon dan menyingkirkan ransomware DoubleLocker.
Namun, untuk perangkat Android dengan mode debugging yang diaktifkan, korban dapat menggunakan tool Android Debug Bridge (ADB) untuk mereset PIN tanpa memformat ponsel mereka.
Cara terbaik untuk melindungi diri dari serangan ransomware semacam itu adalah dengan selalu mendownload aplikasi dari sumber terpercaya, seperti Google Play Store, dan tetap berpegang pada pengembang yang terverifikasi.
Dan juga, jangan pernah mengklik link yang disediakan dalam SMS atau email. Sekalipun email itu terlihat legit atau asli, verifikasi dulu sumbernya berasal darimana.
Terlebih lagi, hal yang terpenting, simpan aplikasi antivirus yang bagus di smartphone yang dapat mendeteksi dan memblokir malware semacam itu sebelum dapat menginfeksi perangkat dan pastikan selalu up-to-date.
