Microsoft advirtió sobre una nueva variedad de ransomware móvil que aprovecha las notificaciones de llamadas entrantes y el botón de inicio de Android para bloquear el dispositivo detrás de una nota de rescate.
Los hallazgos se refieren a una variante de una conocida familia de ransomware de Android denominada «MalLocker.B» que ahora ha resurgido con nuevas técnicas, que incluyen un medio novedoso para entregar la demanda de rescate en los dispositivos infectados, así como un mecanismo de ocultación para evadir las soluciones de seguridad.
El desarrollo se produce en medio de un gran aumento de los ataques de ransomware contra la infraestructura crítica en todos los sectores, con un aumento del 50% en el promedio diario de ataques de ransomware en los últimos tres meses en comparación con la primera mitad del año, y los ciberdelincuentes incorporan cada vez más la doble extorsión en sus libro de jugadas.
MalLocker ha sido conocido por estar alojado en sitios web maliciosos y circular en foros en línea usando varios señuelos de ingeniería social haciéndose pasar por aplicaciones populares, juegos crackeados o reproductores de video.
Las instancias anteriores de ransomware de Android han explotado las funciones de accesibilidad de Android o el permiso llamado «SYSTEM_ALERT_WINDOW» para mostrar una ventana persistente sobre todas las demás pantallas para mostrar la nota de rescate, que generalmente se hace pasar por avisos policiales falsos o alertas sobre supuestamente encontrar imágenes explícitas en el dispositivo.
Pero justo cuando el software anti-malware comenzó a detectar este comportamiento, la nueva variante de ransomware de Android ha desarrollado su estrategia para superar esta barrera. Lo que ha cambiado con MalLocker.B es el método mediante el cual logra el mismo objetivo a través de una táctica completamente nueva.
Para hacerlo, aprovecha la notificación de «llamada» que se utiliza para alertar al usuario sobre las llamadas entrantes con el fin de mostrar una ventana que cubre toda el área de la pantalla y, posteriormente, la combina con una pulsación de tecla Inicio o Recientes para activar la nota de rescate. al primer plano y evitar que la víctima cambie a cualquier otra pantalla.
«Esto crea una cadena de eventos que desencadena la ventana emergente automática de la pantalla del ransomware sin hacer un rediseño infinito o hacerse pasar por una ventana del sistema», dijo Microsoft.
Además de desarrollar gradualmente una serie de técnicas antes mencionadas para mostrar la pantalla de ransomware, la compañía también notó la presencia de un modelo de aprendizaje automático aún por integrar que podría usarse para ajustar la imagen de la nota de rescate dentro de la pantalla sin distorsión. insinuando la siguiente etapa de evolución del malware.
Además, en un intento de enmascarar su verdadero propósito, el código de ransomware está muy ofuscado y se vuelve ilegible debido a la manipulación de nombres y el uso deliberado de nombres de variables sin sentido y código basura para frustrar el análisis, dijo la compañía.
«Esta nueva variante de ransomware móvil es un descubrimiento importante porque el malware exhibe comportamientos que no se han visto antes y podría abrir puertas para que lo sigan otros malware», dijo el equipo de investigación de Microsoft 365 Defender.
«Refuerza la necesidad de una defensa integral impulsada por una amplia visibilidad de las superficies de ataque, así como expertos en el dominio que rastrean el panorama de amenazas y descubren amenazas notables que podrían estar escondidas en medio de señales y datos de amenazas masivas».
Vía: The Hackernews
