MalLocker
MalLocker, mais especificamente AndroidOS / MalLocker.B, é a designação dada pela Microsoft à última variante que foi gerada a partir de uma família de ameaças de ransomware Android. De acordo com os pesquisadores, essa família específica de ameaças já está operacional há bastante tempo e passou por vários estágios de evolução, mostrando o compromisso dos hackers em continuar desenvolvendo suas ferramentas de malware.
À primeira vista, o MalLocker pode parecer uma típica ameaça de ransomware ANdroind. Ele bloqueia a tela com uma janela que mostra uma mensagem dos hackers e impede que os usuários acessem o resto do dispositivo afetado. O texto da mensagem representa uma tática típica de extorsão, com os criminosos fazendo alegações ultrajantes sobre o usuário violar a lei por possuir materiais ilícitos no dispositivo e agora está sendo processado pela polícia. A julgar pelo fato de que a mensagem foi escrita inteiramente em russo, pode-se supor que o MalLocker é voltado para infectar usuários de língua russa predominantemente.
No entanto, observar o código subjacente da ameaça revela que é a iteração mais sofisticada dessa família de malware. MalLocker emprega técnicas exclusivas de exploração e ofuscação. Variantes de ransomware anteriores foram observadas abusando de permissão específica chamada 'SYSTEM_ALERT_WINDOW' antes de passar para outras táticas indiscutivelmente menos eficazes, como explorar recursos de acessibilidade de dispositivos Android. MalLocker, no entanto, passou para a próxima etapa no desenvolvimento de ransomware Android. Ele tira proveito de dois serviços principalmente - a notificação de 'chamada' que possui privilégios especiais porque deve exibir detalhes sobre o chamador e a função de retorno de chamada 'onUserLeaveHint ()' da Atividade Android. Através desta função, o malware garante que a tela com a mensagem de resgate ficará sempre no topo, evitando que o usuário a coloque em segundo plano através dos botões 'Home' ou 'Recentes'. O código de MalLocker também foi ofuscado por meio de uma técnica exclusiva para a plataforma Android.
Devido ao seu design, o MalLocker não consegue penetrar nas medidas de segurança da Play Store, obrigando os criminosos por trás da ameaça a usar diferentes vetores de distribuição, principalmente por estar hospedado em sites de terceiros e por meio de mensagens em fóruns online. Ambos os métodos envolvem várias táticas de engenharia social para induzir os usuários a baixar o arquivo corrompido disfarçado como um jogo crackeado, um reprodutor de vídeo ou um aplicativo popular.
