Suara.com - Bentuk baru ransomware Android mampu mengenkripsi data korban dan mengubah PIN mereka, sehingga hampir tidak mungkin mengembalikan file mereka tanpa harus membayar uang tebusan.
Dijuluki DoubleLocker oleh para periset di ESET yang menemukannya, ransomware tersebut menyebar sebagai pembaruan Adobe Flash palsu melalui situs web yang dikompromikan.
Setelah diunduh ke perangkat, aplikasi Adobe Flash palsu meminta pengaktifan 'Layanan Google Play' yang memanfaatkan serangkaian izin melalui layanan aksesibilitas, sebuah fungsi yang dirancang untuk membantu orang-orang cacat menggunakan telepon mereka.
Ini termasuk pengambilan konten jendela, mengaktifkan aksesibilitas web yang disempurnakan untuk keperluan pemasangan skrip dan pengamatan yang diketik dalam teks. Teknik yang sama untuk menyalahgunakan layanan aksesibilitas sebelumnya telah dimanfaatkan oleh pencuri trojan Android mencuri data, namun ini adalah pertama kalinya terlihat di alat pembayaran.
Baca Juga: Ransomware Baru Ini Minta Foto Telanjang Korban Sebagai Tebusan
Setelah diberi izin yang sesuai, DoubleLocker menginstal ransomware sebagai aplikasi Home default. Artinya, pada saat pengguna mengunjungi layar awal, mereka dihadapkan dengan catatan tebusan.
"Menetapkan dirinya sebagai aplikasi rumah default adalah trik yang meningkatkan ketekunan malware. Kapanpun pengguna mengklik tombol Home, maka ransomware akan diaktifkan dan perangkat terkunci lagi. Berkat penggunaan layanan aksesibilitas, pengguna tidak tahu bahwa mereka meluncurkan malware dengan cara memukul Home," kata Lukáš Štefanko, peneliti malware di ESET.
DoubleLocker mengunci perangkat dengan dua cara. Pertama, seperti bentuk ransomware lainnya, ia mengenkripsi file pada perangkat. Dalam hal ini menggunakan algoritma enkripsi AES dengan ekstensi "cryeye". Sayangnya bagi korban, enkripsi diaplikasikan secara efektif. Artinya, saat ini tidak ada cara untuk mengambil file tanpa kunci.
Kedua, ransomware mengubah PIN perangkat, secara efektif menghalangi korban untuk menggunakannya sama sekali. PIN diatur ke nomor acak yang tidak disembunyikan penyerang. Artinya, tidak mungkin memulihkan akses ke perangkat. Penyerang mengembalikan PIN dari jarak jauh saat perangkat dibuka setelah uang tebusan dibayarkan.
Sebagai ganti untuk membuka kunci perangkat, penyerang meminta uang tebusan 0,0130 Bitcoin atau sekitar 73 dolar AS (Rp985 ribuan).
Baca Juga: Serangan Ransomware ke Perusahaan Meningkat Pesat
Meskipun angka ini rendah dibandingkan dengan bentuk uang tebusan lainnya, kemungkinan penjahat siber di balik skema tersebut berpikir bahwa korban lebih cenderung membayar jumlah yang lebih kecil untuk mendapatkan akses kembali ke telepon atau tablet mereka.