MalLocker
MalLocker, a dokładniej AndroidOS / MalLocker.B, to nazwa nadana przez Microsoft najnowszemu wariantowi, który powstał z rodziny zagrożeń ransomware dla Androida. Zdaniem naukowców ta konkretna rodzina zagrożeń działa na wolności od dłuższego czasu i przeszła kilka etapów ewolucji, co pokazuje zaangażowanie hakerów w dalsze rozwijanie swoich narzędzi do złośliwego oprogramowania.
Na pierwszy rzut oka MalLocker może wydawać się typowym zagrożeniem ransomware ANdroind. Blokuje ekran z oknem wyświetlającym wiadomość od hakerów i uniemożliwia użytkownikom dostęp do reszty urządzenia, którego dotyczy problem. Treść wiadomości przedstawia typową taktykę wymuszeń, w której przestępcy skandalicznie twierdzą, że użytkownik łamie prawo poprzez posiadanie nielegalnych materiałów na urządzeniu i jest obecnie ścigany przez policję. Sądząc po tym, że wiadomość jest napisana w całości po rosyjsku, można przypuszczać, że MalLocker jest nastawiony na infekowanie głównie rosyjskojęzycznych użytkowników.
Jednak spojrzenie na kod zagrożenia ujawnia, że jest to najbardziej wyrafinowana iteracja z tej rodziny złośliwego oprogramowania. MalLocker wykorzystuje unikalne techniki exploitów i zaciemniania. Zaobserwowano, że poprzednie warianty oprogramowania ransomware nadużywały określonego zezwolenia o nazwie „SYSTEM_ALERT_WINDOW” przed przejściem do innych prawdopodobnie mniej skutecznych taktyk, takich jak wykorzystywanie funkcji ułatwień dostępu na urządzeniach z Androidem. Jednak MalLocker przeszedł do następnego kroku w rozwoju oprogramowania ransomware dla Androida. Wykorzystuje głównie dwie usługi - powiadomienie „call”, które ma specjalne uprawnienia, ponieważ musi wyświetlać szczegółowe informacje o dzwoniącym, oraz funkcję wywołania zwrotnego „onUserLeaveHint ()” działania Androida. Dzięki tej funkcji złośliwe oprogramowanie zapewnia, że ekran z wiadomością okupu zawsze pozostanie na wierzchu, uniemożliwiając użytkownikowi wypchnięcie go w tle za pomocą przycisków „Strona główna” lub „Ostatnie”. Kod MalLockera został również zaciemniony za pomocą techniki unikalnej dla platformy Android.
Ze względu na swoją konstrukcję MalLocker nie jest w stanie przeniknąć do środków bezpieczeństwa Sklepu Play, zmuszając przestępców stojących za zagrożeniem do korzystania z różnych wektorów dystrybucji, głównie poprzez hostowanie w witrynach osób trzecich i za pośrednictwem wiadomości na forach internetowych. Obie metody obejmują różne taktyki socjotechniczne, aby zachęcić użytkowników do pobrania uszkodzonego pliku pod postacią crackowanej gry, odtwarzacza wideo lub popularnej aplikacji.