MalLocker
MalLocker, più specificamente AndroidOS / MalLocker.B, è la designazione data da Microsoft all'ultima variante che è stata generata da una famiglia di minacce ransomware Android. Secondo i ricercatori, questa particolare famiglia di minacce è operativa in natura da un po 'di tempo e ha subito diverse fasi di evoluzione, dimostrando l'impegno degli hacker a continuare a sviluppare i propri strumenti malware.
A prima vista, MalLocker può sembrare una tipica minaccia ransomware ANdroind. Blocca lo schermo con una finestra che mostra un messaggio degli hacker e impedisce agli utenti di accedere al resto del dispositivo interessato. Il testo del messaggio rappresenta una tipica tattica di estorsione, con i criminali che fanno affermazioni oltraggiose sull'utente che viola la legge possedendo materiali illeciti sul dispositivo ed è ora perseguito dalla polizia. A giudicare dal fatto che il messaggio è scritto interamente in russo, si potrebbe supporre che MalLocker sia orientato a infettare gli utenti prevalentemente di lingua russa.
Tuttavia, guardando il codice alla base della minaccia, si scopre che si tratta dell'iterazione più sofisticata di questa famiglia di malware. MalLocker utilizza tecniche uniche di exploit e offuscamento. Precedenti varianti di ransomware sono state osservate abusando di un permesso specifico chiamato "SYSTEM_ALERT_WINDOW" prima di passare ad altre tattiche probabilmente meno efficaci come lo sfruttamento delle funzionalità di accessibilità dei dispositivi Android. MalLocker, tuttavia, è passato al passaggio successivo nello sviluppo di ransomware Android. Sfrutta principalmente due servizi: la notifica di "chiamata" che possiede privilegi speciali perché deve visualizzare i dettagli sul chiamante e la funzione di callback "onUserLeaveHint ()" dell'attività Android. Attraverso questa funzione, il malware assicura che lo schermo con il messaggio di riscatto rimanga sempre in primo piano, impedendo all'utente di spostarlo in background tramite i pulsanti "Home" o "Recenti". Anche il codice di MalLocker è stato offuscato tramite una tecnica unica per la piattaforma Android.
A causa del suo design, MalLocker non è in grado di penetrare nelle misure di sicurezza del Play Store, costringendo i criminali dietro la minaccia a utilizzare diversi vettori di distribuzione, principalmente essendo ospitato su siti di terze parti e tramite messaggi sui forum online. Entrambi i metodi implicano varie tattiche di ingegneria sociale per invogliare gli utenti a scaricare il file danneggiato camuffato da un gioco crackato, un lettore video o un'applicazione popolare.
