MalLocker
MalLocker, meer specifiek AndroidOS / MalLocker.B, is de aanduiding die door Microsoft is gegeven aan de nieuwste variant die is voortgekomen uit een familie van Android-ransomwarebedreigingen. Volgens de onderzoekers is deze specifieke familie van bedreigingen al geruime tijd actief in het wild en heeft ze verschillende stadia van evolutie doorgemaakt, wat aantoont dat hackers zich inzetten om hun malwaretools verder te ontwikkelen.
Op het eerste gezicht lijkt MalLocker misschien een typische ANdroind ransomware-bedreiging. Het vergrendelt het scherm met een venster met een bericht van de hackers en voorkomt dat gebruikers toegang krijgen tot de rest van het getroffen apparaat. De tekst van het bericht vertegenwoordigt een typische afpersingstactiek, waarbij de criminelen schandalige beweringen doen over het overtreden van de wet door de gebruiker door illegale materialen op het apparaat te bezitten en nu door de politie worden vervolgd. Te oordelen naar het feit dat het bericht volledig in het Russisch is geschreven, kan worden aangenomen dat MalLocker erop gericht is overwegend Russisch sprekende gebruikers te infecteren.
Als we echter naar de onderliggende code van de dreiging kijken, blijkt dat dit de meest geavanceerde versie van deze malwarefamilie is. MalLocker maakt gebruik van unieke exploitatie- en verduisteringstechnieken. Eerdere ransomwarevarianten maakten misbruik van specifieke toestemming genaamd 'SYSTEM_ALERT_WINDOW' voordat ze doorgingen naar andere aantoonbaar minder effectieve tactieken, zoals het misbruiken van de toegankelijkheidsfuncties van Android-apparaten. MalLocker is echter overgegaan naar de volgende stap in de ontwikkeling van Android-ransomware. Het maakt voornamelijk gebruik van twee services: de 'oproep'-melding die speciale rechten heeft omdat deze details over de beller moet weergeven en de' onUserLeaveHint () 'callback-functie van de Android-activiteit. Door deze functie zorgt de malware ervoor dat het scherm met het losgeldbericht altijd bovenaan blijft staan, door te voorkomen dat de gebruiker het via de 'Home'- of' Recents'-knoppen naar de achtergrond duwt. De code van MalLocker is ook verduisterd door een techniek die uniek is voor het Android-platform.
Vanwege zijn ontwerp is MalLocker niet in staat om de beveiligingsmaatregelen van de Play Store te doorbreken, waardoor de criminelen achter de dreiging worden gedwongen verschillende distributievectoren te gebruiken, voornamelijk door te worden gehost op sites van derden en via berichten op online forums. Beide methoden omvatten verschillende social-engineeringtactieken om de gebruikers te verleiden het beschadigde bestand te downloaden dat is vermomd als een gekraakte game, een videospeler of een populaire applicatie.
