这个复杂的勒索软件绑架了Android手机上的数据

根据微软365 Defender研究团队于10月8日发布的报告,勒索软件已经有了新的发展。该报告称,研究团队发现了一款​​带有“新颖技术和行为”的特别复杂的Android勒索软件,体现了观察到的“移动威胁的快速发展”,PhoneArena写道。

这种特定的移动勒索软件已经被Microsoft Defender for Endpoint“作为AndroidOS / MalLocker.B”检测到,并且已经流行了一段时间并且一直在不断发展。

众所周知,MalLocker.B托管在随机网站上,并通过在线论坛进行分发,并使用各种社会工程学诱饵。据报道,它经常伪装成流行的应用程序,破解游戏或视频播放器。

其中一种版本特别引起人们的注意,因为它是具有“无误的恶意特征和行为”的高级恶意软件,但它设法逃避了大多数可用的保护,并且针对许多安全解决方案的检测率很低。

要求以赎回书的形式提供赎金,以阻止访问手机的显示屏。较早版本的勒索软件将依赖于名为“ SYSTEM_ALERT_WINDOW”的权限,该权限显示无法关闭或关闭的弹出窗口。

另请参阅:勒索软件警报:Microsoft对所有Android手机用户发出警告

此权限功能最初是为实际的系统警报/错误而设计的,遭到不良行为者的劫持,并且UI由黑客控制,以覆盖整个设备屏幕,而不是一小部分-导致整个屏幕无法使用。这阻止了受害者访问他们的设备,他们唯一的选择就是付费。

为了解决这个问题,Google通过删除SYSTEM_ALERT_WINDOW错误和警报窗口进行了报复。SYSTEM_ALERT_WINDOW的权限状态也已提升为特殊权限类别,并变为“危险以上”类别。这意味着用户不仅需要单击,还必须通过“许多屏幕来批准要求许可的应用程序”。

然后,黑客通过使用可访问性功能来演化恶意软件,但是,这些功能很容易被检测到。通过使用Android上的“呼叫”通知和“回调方法”,这些感染了恶意软件的应用程序继续发展-需要用户立即注意。

黑客开始使用这两种功能的组合来触发设备上的赎金记录。

但是这个进化的故事还没有结束。

根据Microsoft 365 Defender研究团队的报告,勒索软件的最新变体包含“从开源机器学习模块派生的代码,开发人员使用该模块根据屏幕大小自动调整大小和裁剪图像”。鉴于现有的各种Android设备,这是一项宝贵的功能。

冻结的TinyML模型可用于确保图像适合设备屏幕而不会出现任何失真。特别是对于这种勒索软件,此模型可以确保通常看起来是伪造的警察通知或据称在设备上发现的露骨图片的勒索便条看起来更可信,从而增加了受害者实际付款的机会向上。

Microsoft Defender研究团队负责人Tanmay Ganacharya指出,这种特定的移动勒索软件变种暗示了人们对未来恶意软件攻击的期望。

关键是,MalLocker.B正在不断发展,其主要议程是一旦设法保存您的设备或数据,就从您身上赚取尽可能多的钱