Suara.com - Bentuk baru ransomware Android mampu mengenkripsi data korban dan mengubah PIN mereka, sehingga hampir tidak mungkin mengembalikan file mereka tanpa harus membayar uang tebusan.
Dijuluki DoubleLocker oleh para periset di ESET yang menemukannya, ransomware tersebut menyebar sebagai pembaruan Adobe Flash palsu melalui situs web yang dikompromikan.
Setelah diunduh ke perangkat, aplikasi Adobe Flash palsu meminta pengaktifan 'Layanan Google Play' yang memanfaatkan serangkaian izin melalui layanan aksesibilitas, sebuah fungsi yang dirancang untuk membantu orang-orang cacat menggunakan telepon mereka.
Ini termasuk pengambilan konten jendela, mengaktifkan aksesibilitas web yang disempurnakan untuk keperluan pemasangan skrip dan pengamatan yang diketik dalam teks. Teknik yang sama untuk menyalahgunakan layanan aksesibilitas sebelumnya telah dimanfaatkan oleh pencuri trojan Android mencuri data, namun ini adalah pertama kalinya terlihat di alat pembayaran.
Setelah diberi izin yang sesuai, DoubleLocker menginstal ransomware sebagai aplikasi Home default. Artinya, pada saat pengguna mengunjungi layar awal, mereka dihadapkan dengan catatan tebusan.
"Menetapkan dirinya sebagai aplikasi rumah default adalah trik yang meningkatkan ketekunan malware. Kapanpun pengguna mengklik tombol Home, maka ransomware akan diaktifkan dan perangkat terkunci lagi. Berkat penggunaan layanan aksesibilitas, pengguna tidak tahu bahwa mereka meluncurkan malware dengan cara memukul Home," kata Lukáš Štefanko, peneliti malware di ESET.
DoubleLocker mengunci perangkat dengan dua cara. Pertama, seperti bentuk ransomware lainnya, ia mengenkripsi file pada perangkat. Dalam hal ini menggunakan algoritma enkripsi AES dengan ekstensi "cryeye". Sayangnya bagi korban, enkripsi diaplikasikan secara efektif. Artinya, saat ini tidak ada cara untuk mengambil file tanpa kunci.
Kedua, ransomware mengubah PIN perangkat, secara efektif menghalangi korban untuk menggunakannya sama sekali. PIN diatur ke nomor acak yang tidak disembunyikan penyerang. Artinya, tidak mungkin memulihkan akses ke perangkat. Penyerang mengembalikan PIN dari jarak jauh saat perangkat dibuka setelah uang tebusan dibayarkan.
Sebagai ganti untuk membuka kunci perangkat, penyerang meminta uang tebusan 0,0130 Bitcoin atau sekitar 73 dolar AS (Rp985 ribuan).
Meskipun angka ini rendah dibandingkan dengan bentuk uang tebusan lainnya, kemungkinan penjahat siber di balik skema tersebut berpikir bahwa korban lebih cenderung membayar jumlah yang lebih kecil untuk mendapatkan akses kembali ke telepon atau tablet mereka.
Batas waktu 24 jam untuk membayar uang tebusan dikeluarkan oleh penyerang, yang mengklaim "Tanpa [perangkat lunak], Anda tidak akan pernah bisa mengembalikan file asli Anda".
Bagi sebagian besar, hanya ada satu cara untuk menyingkirkan perangkat DoubleLocker tanpa membayar uang tebusan. Reset pabrik yang akan menyebabkan semua data tidak dicadangkan hilang.
Ada kemungkinan kecil ponsel Android berakar bisa melewati kunci PIN tanpa di-reset dan itu hanya jika perangkat dalam mode debug sebelum alat pembayaran diinstal. Jika ini masalahnya, pengguna dapat menghapus file sistem tempat PIN disimpan, yang memungkinkan pengguna mengatur ulang perangkat secara manual.
Cara terbaik bagi pengguna Android untuk menghindari korban ransomware atau malware lainnya adalah dengan tidak menginstal aplikasi atau perangkat lunak dari situs pihak ketiga.
Namun, Google Play Store sendiri tidak tahan pasar resmi, mencegah sebagian besar aplikasi berbahaya. Namun, beberapa masih tergelincir melalui internet.[Zdnet]
TERPOPULER
