Ransomware che blocca Android attivando un PIN casuale

Si chiama Lockerpin ed è stato recentemente scoperto dai ricercatori di ESET

Senza scendere nel tecnico ed in termini spicci, possiamo definire un ransomware come un programma malvagio che può rendere inaccessibili dispositivi e dati bloccandoli con un codice segreto sconosciuto all’utente e per il quale l’utente malintenzionato di turno chiederà un riscatto al fine di poter recuperare il tutto.

Sebbene il ransomware sia abbastanza diffuso nell’ambito del computing desktop (fortunatamente alcune reti di archiviazione chiavi sono state smantellate, per cui la probabilità di recuperare i dati senza scendere al ricatto è salita negli ultimi tempi), in ambito mobile questo è rimasto un problema marginale, complice anche la protezione che gli store applicano a priori alle applicazioni presenti su essi e la difficoltà di implementare un meccanismo del genere che possa funzionare egregiamente in ambito mobile.

L’anno scorso si sentì parlare di Simplocker, un ransomware in grado di cifrare i file dell’utente su uno smartphone o un tablet, tuttavia attivarlo era (e resta) troppo macchinoso affinché l’utente non si accorga immediatamente del danno che sta per fare; ciò però non ha purtroppo fermato gli smaliziati ideatori di porcherie (e passatemi il francesismo) del genere, poiché i meccanismi di blocco si sono evoluti: un ransomware per Android recentemente scoperto dai ricercatori di ESET può costringere gli utenti ad effettuare un hard reset del dispositivo per recuperarne l’uso.

Si chiama Lockerpin (Android/Lockerpin.A) e, a detta dei ricercatori di ESET, è il primo esempio di ransomware in grado di bloccare un dispositivo impostando un PIN completamente casuale, sconosciuto sia all’utente sia a chi ha creato il malware.

Come si presenta Lockerpin?

Il modus operandi è sempre lo stesso: verrà mostrata una falsa finestra di richiesta pagamento da parte dell’FBI per detenzione di materiale pornografico (500 dollari). Inoltre, lo schermo sarà bloccato da un PIN e il dispositivo Android reso di conseguenza inaccessibile.

Come agisce Lockerpin?

Vi abbiamo già detto che il ransomware è in grado di bloccare dati e dispositivo impostando ed usando un PIN casuale: in precedenza, altri malware riuscivano ad ottenere il blocco dello schermo mettendo in primo piano la finestra di richiesta riscatto in una sequenza di loop; il ransomware, tuttavia, poteva essere facilmente disinstallato usando la Modalità Provvisoria di Android o ADB (tramite computer).

In Lockerpin le cose non sono invece così semplici: poiché viene impostato un PIN, i meccanismi di sicurezza di Android – a meno che il dispositivo non sia stato già rootato e dotato di una suite di recovery (ad esempio ClockWorkMod o TWRP, immuni a questo tipo di ransomware) – impediranno la disinstallazione delle app con la Modalità Provvisoria poiché l’utente non conosce il PIN di blocco schermo (cosa assolutamente lecita). L’app potrà essere invece disinstallata con ADB, tuttavia il PIN (sconosciuto) resterà sempre lì, per cui l’unico modo per tornare ad avere accesso al proprio dispositivo sarà effettuare un hard reset. 

Inoltre, questo ransomware utilizza un trucco per ottenere e conservare i privilegi di Amministrazione Dispositivo per impedire la disinstallazione. E’ il primo caso in cui osserviamo un comportamento aggressivo del genere in un malware Android.

Come si contrae Lockerpin?

Qui i cuori possono iniziare a tranquillizzarsi: al momento non c’è traccia di Lockerpin sul Google Play Store (e difficilmente un malware del genere riuscirà ad eludere la protezione di Google), tuttavia al momento il ransomware può essere contratto tramite un’app fasulla scaricabile da siti di terze parti chiamata “Porn Droid”.

Dopo aver scaricato ed installato l’app, il ransomware cercherà di ottenere privilegi di amministratore lanciando una falsa finestra di “Aggiornamento Patch”: se l’utente acconsentirà, Lockerpin otterrà i privilegi di Amministrazione Dispositivo necessari per portare a termine lo sporco compito. E, a quel punto, verrà impostato il PIN casuale e sarà troppo tardi.

La raccomandazione è quindi sempre la solita: evitate di scaricare app, soprattutto un certo tipo di app, dai siti di terze parti ed affidatevi sempre allo store ufficiale del vostro dispositivo Android.