Los sistemas de software antivirus son cada vez mejores. Pero los desarrolladores de malware también están ocupados creando versiones más avanzadas de software malicioso para una amplia variedad de plataformas y sistemas operativos.
Muy a menudo, la atención de los atacantes a una plataforma o sistema operativo en particular se debe a la popularidad de estos sistemas. Es simple: cuantos más usuarios tengan, mayor será la posibilidad de un ataque importante exitoso. Uno de los objetivos más atractivos para los desarrolladores de malware es Android. Microsoft ha publicado recientemente los resultados de una nueva generación de malware para este sistema operativo.
¿Malware para Android? Han existido durante muchos años, algunos más, otros menos.
En general, todo es cierto, pero el malware descubierto por los expertos en seguridad de la información de Microsoft sorprende por sus capacidades. Estamos hablando de AndroidOS / MalLocker.B , una de las variedades de ransomware para Android.
Su última generación es capaz de eludir casi todos los sistemas de protección que ofrece el mercado de software antivirus.
Para mostrar el mensaje, cuya captura de pantalla se muestra arriba, el malware utilizó el permiso especial SYSTEM_ALERT_WINDOW . Permite que la aplicación muestre una ventana con un nivel de "tolerancia" del sistema, de modo que el software antivirus no pueda contrarrestarlo.
Los desarrolladores de Android, utilizando SYSTEM_ALERT_WINDOW, implementaron la visualización de mensajes sobre problemas y errores en el sistema. Los desarrolladores de software malicioso utilizan un mensaje de "sistema" para mostrar una solicitud de envío de dinero, mientras que todas las demás funciones del dispositivo están bloqueadas. Muy a menudo funciona, y el usuario sin experiencia realmente paga.
Los desarrolladores de Android han introducido varios cambios en las versiones recientes del sistema operativo para evitar este peligro:
- Se reemplazó SYSTEM_ALERT_WINDOW con otros tipos de llamada de ventana de mensaje de error / notificación.
- Introdujo una solicitud de permiso de usuario para usar SYSTEM_ALERT_WINDOW para diferentes aplicaciones, no todas juntas.
- Se agregó la capacidad de desactivar la ventana SYSTEM_ALERT_WINDOW por parte del usuario.
Los desarrolladores de software malicioso intentaron adaptarse. Por ejemplo, se introdujo en el ciclo el proceso de dibujar ventanas con una demanda de rescate. Pero este no fue un método particularmente efectivo, ya que el usuario podía minimizar todo, ir a la configuración y eliminar la aplicación problemática.
Pero ahora todo ha cambiado, los desarrolladores del software malicioso también resultaron ser "no un bastardo".
¿Qué hace exactamente AndroidOS / MalLocker.B?
El malware de próxima generación interactúa con la función de ventana de llamada. Cerrar la ventana no es fácil porque tiene una alta prioridad. Dentro de la propia ventana, se muestra el mismo texto con el requisito de enviar dinero a la billetera de los ciberdelincuentes.
Para ello, se utilizan dos componentes que le permiten crear un tipo especial de notificación, que luego activa la ventana de llamada telefónica.
Cuando esto está activado enUserLeaveHint , una función que se activa cuando presiona botones como Inicio o Recientes. El malware lo usa para evitar que el usuario regrese a la pantalla de inicio, minimice la ventana de rescate o cambie a otra aplicación. Esta táctica es nueva, ya que el ransomware solía usar DoubleLocker y lo combinaba con el servicio de accesibilidad.
Otra nueva característica del ransomware es el uso de un módulo de aprendizaje automático, que le permite al malware determinar el tamaño requerido del cuadro de mensaje, adaptándolo al tamaño de la pantalla y otras características del dispositivo. Dado que hay tantos modelos de tabletas y teléfonos Android, esta es una "habilidad" extremadamente útil para el ransomware.
A continuación se muestra un diagrama de cómo funcionan los diferentes tipos de malware, incluidos los representantes de la última "familia". La imagen a tamaño completo se abrirá al hacer clic.
Los expertos en seguridad sugieren que la evolución de esta rama de ransomware está lejos de ser un callejón sin salida: todavía quedan varias generaciones por delante con nuevas características y capacidades.
Métodos de derivación y distribución de protección
Los desarrolladores de AndroidOS / MalLocker.B enseñaron su "creación" a eludir tanto el sistema de seguridad habitual de Google como las soluciones antivirus de terceros. Esto se hace enmascarando algunas de las características y capacidades del ransomware.
Por lo tanto, cualquier aplicación de Android incluye un "archivo de manifiesto" que contiene los nombres y detalles de todos los componentes del software. Los desarrolladores de malware suelen enmascarar y ocultar algunos componentes importantes. Los creadores del nuevo ransomware han elegido un camino diferente: ofuscan el código que evita que las aplicaciones antivirus detecten malware. Además, el archivo está oculto en otra carpeta, por lo que el ransomware puede funcionar, pero sin mostrar "la verdad de sus intenciones".
Es poco probable que el nuevo malware ingrese a Google Play Store, pero puede ingresar a catálogos de aplicaciones de terceros sin demasiados problemas. Ahora, los desarrolladores distribuyen el ransomware en foros, sitios web habituales y catálogos de aplicaciones de Android de terceros. No hay nada nuevo aquí, las tácticas de los ciberdelincuentes son estándar, para disfrazar el software malicioso como una aplicación popular, un videojuego, un jugador o algo así.
Para evitar la propagación del malware, Microsoft compartió información detallada al respecto con Google, incluso antes de que los resultados del estudio de ransomware se hicieran públicos. Las recomendaciones dadas por los especialistas en seguridad de la información a los usuarios son las más simples: descargue aplicaciones de fuentes confiables y no haga clic en enlaces sospechosos, incluidos los contenidos en mensajes de correo electrónico.
