MalLocker
MalLocker, konkrétněji AndroidOS / MalLocker.B, je označení dané společností Microsoft nejnovější variantě, která byla vytvořena z rodiny hrozeb ransomwaru pro Android. Podle výzkumníků tato konkrétní skupina hrozeb funguje ve volné přírodě po nějakou dobu a prošla několika fázemi evoluce, což ukazuje závazek hackerů pokračovat ve vývoji jejich malwarových nástrojů.
Na první pohled se MalLocker může zdát jako typická hrozba ransomwaru ANdroind. Uzamkne obrazovku s oknem zobrazujícím zprávu od hackerů a zabrání uživatelům v přístupu ke zbytku postiženého zařízení. Text zprávy představuje typickou taktiku vydírání, kdy zločinci vznesli pobuřující tvrzení o tom, že uživatel porušil zákon tím, že vlastnil na zařízení nedovolené materiály, a nyní je stíhán policií. Soudě podle skutečnosti, že zpráva je napsána úplně v ruštině, lze předpokládat, že MalLocker je zaměřen na infikování převážně rusky mluvících uživatelů.
Pohled na základní kód hrozby však odhaluje, že se jedná o nejsofistikovanější iteraci této rodiny malwaru. MalLocker využívá jedinečné techniky zneužití a zmatení. Byly pozorovány předchozí varianty ransomwaru, které zneužívaly konkrétní oprávnění zvané „SYSTEM_ALERT_WINDOW“, než přešly na další pravděpodobně méně efektivní taktiku, jako je využívání funkcí přístupnosti zařízení Android. MalLocker však přešel k dalšímu kroku ve vývoji ransomwaru pro Android. Využívá hlavně dvě služby - oznámení „volání“, které má speciální oprávnění, protože musí zobrazit podrobnosti o volajícím a funkci zpětného volání „onUserLeaveHint ()“ aktivity Android. Prostřednictvím této funkce malware zajišťuje, že obrazovka s výkupnou zůstane vždy nahoře, a to tak, že uživateli nedovolí posunout ji na pozadí pomocí tlačítek „Domů“ nebo „Nedávné“. MalLockerův kód byl také zmaten technikou, která je pro platformu Android jedinečná.
MalLocker díky svému designu není schopen proniknout do bezpečnostních opatření obchodu Play, což nutí zločince stojící za hrozbou používat různé distribuční vektory, zejména tím, že jsou hostováni na webech třetích stran a prostřednictvím zpráv na online fórech. Obě metody zahrnují různé taktiky sociálního inženýrství, které lákají uživatele ke stažení poškozeného souboru maskovaného jako prasklá hra, videopřehrávač nebo populární aplikace.
