MalLocker
MalLocker, tarkemmin sanottuna AndroidOS / MalLocker.B, on nimitys, jonka Microsoft on antanut uusimmalle versiolle, joka on syntynyt Android-ransomware-uhkien perheestä. Tutkijoiden mukaan tämä erityinen uhkaperhe on ollut toiminnassa luonnossa jo jonkin aikaa, ja se on käynyt läpi useita kehitysvaiheita, mikä osoittaa hakkereiden sitoutumista jatkaa haittaohjelmatyökalujensa kehittämistä.
Ensi silmäyksellä MalLocker saattaa tuntua tyypilliseltä ANdroind-ransomware-uhalta. Se lukitsee ruudun ikkunalla, joka näyttää hakkereiden viestin, ja estää käyttäjiä pääsemästä muuhun laitteeseen. Viestin teksti edustaa tyypillistä kiristystaktiikkaa, jossa rikolliset väittävät törkeästi, että käyttäjä rikkoo lakia pitämällä laitteessa laitonta materiaalia, ja nyt poliisi syyttää heitä. Sen perusteella, että viesti kirjoitetaan kokonaan venäjäksi, voidaan olettaa, että MalLocker on suunnattu tartuttamaan pääosin venäjänkielisiä käyttäjiä.
Uhan taustalla olevan koodin tarkastelu paljastaa kuitenkin, että se on tämän haittaohjelmaperheen kehittynein iterointi. MalLocker käyttää ainutlaatuisia hyväksikäyttö- ja hämärtystekniikoita. Aikaisempien lunnasohjelmavarianttien havaittiin väärinkäyttäneen SYSTEM_ALERT_WINDOW-nimistä lupaa ennen siirtymistä muihin epäilemättä vähemmän tehokkaisiin taktiikoihin, kuten Android-laitteiden esteettömyysominaisuuksien hyödyntämiseen. MalLocker on kuitenkin siirtynyt seuraavaan vaiheeseen Android-ransomware-kehityksessä. Se hyödyntää pääasiassa kahta palvelua - puheluilmoituksen, jolla on erityiset oikeudet, koska sen on näytettävä tiedot soittajasta ja Android Activityn onUserLeaveHint () -puhelutoiminto. Tämän toiminnon avulla haittaohjelma varmistaa, että lunnausviestin sisältävä näyttö pysyy aina ylhäällä estämällä käyttäjää työntämästä sitä taustalle Koti- tai Viimeisimmät-painikkeiden kautta. MalLockerin koodi on myös hämärtynyt tekniikalla, joka on ainutlaatuinen Android-alustalle.
Suunnittelunsa vuoksi MalLocker ei kykene tunkeutumaan Play Kaupan turvatoimiin ja pakottaa uhan takana olevat rikolliset käyttämään erilaisia jakeluvektoreita pääasiassa isännöimällä kolmansien osapuolten sivustoilla ja verkkofoorumeilla. Molemmat menetelmät sisältävät erilaisia sosiaalisen suunnittelun taktiikoita houkuttelemaan käyttäjiä lataamaan vioittunut tiedosto, joka on naamioitu murtuneeksi peliksi, videosoittimeksi tai suosituksi sovellukseksi.
