Microsoft advirtió sobre una nueva variedad de ransomware móvil que aprovecha las notificaciones de llamadas entrantes y el botón de inicio de Android para bloquear el dispositivo detrás de una nota de rescate.
Los hallazgos se refieren a una variante de una conocida familia de ransomware de Android denominada «MalLocker.B» que ahora ha resurgido con nuevas técnicas, incluido un medio novedoso para entregar la demanda de rescate en dispositivos infectados, así como un mecanismo de ofuscación para evadir soluciones de seguridad.
El desarrollo se produce en medio de un gran aumento en los ataques de ransomware contra la infraestructura crítica en todos los sectores, con un aumento del 50 % en el promedio diario de ataques de ransomware en los últimos tres meses en comparación con la primera mitad del año, y los ciberdelincuentes incorporan cada vez más la doble extorsión en sus acciones. libro de jugadas
MalLocker ha sido conocido por estar alojado en sitios web maliciosos y circular en foros en línea utilizando varios señuelos de ingeniería social haciéndose pasar por aplicaciones populares, juegos pirateados o reproductores de video.
Las instancias anteriores de ransomware de Android han explotado las funciones de accesibilidad de Android o el permiso llamado «SYSTEM_ALERT_WINDOW» para mostrar una ventana persistente en la parte superior de todas las demás pantallas para mostrar la nota de rescate, que generalmente se hace pasar por avisos policiales falsos o alertas sobre el supuesto hallazgo de imágenes explícitas en el dispositivo.
Pero justo cuando el software antimalware comenzó a detectar este comportamiento, la nueva variante de ransomware de Android ha desarrollado su estrategia para superar esta barrera. Lo que ha cambiado con MalLocker.B es el método por el cual logra el mismo objetivo a través de una táctica completamente nueva.
Para hacerlo, aprovecha la notificación de «llamada» que se usa para alertar al usuario sobre las llamadas entrantes para mostrar una ventana que cubre toda el área de la pantalla, y parte la combina con la pulsación de una tecla Inicio o Recientes para activar la nota de rescate en primer plano y evitar que la víctima cambie a cualquier otra pantalla.
«Esto crea una cadena de eventos que activa la ventana emergente automática de la pantalla del ransomware sin tener que volver a dibujarla infinitamente ni hacerse pasar por una ventana del sistema», dijo Microsoft.
Además de desarrollar gradualmente una variedad de técnicas antes mencionadas para mostrar la pantalla del ransomware, la compañía también notó la presencia de un modelo de aprendizaje automático aún por integrar que podría usarse para colocar la imagen de la nota de rescate dentro de la pantalla sin distorsión. insinuando la siguiente etapa de evolución del malware.
Además, en un intento por enmascarar su verdadero propósito, el código del ransomware está muy ofuscado y se vuelve ilegible a través de la manipulación de nombres y el uso deliberado de nombres de variables sin sentido y código basura para frustrar el análisis, dijo la compañía.
«Esta nueva variante de ransomware móvil es un descubrimiento importante porque el malware exhibe comportamientos que no se han visto antes y podría abrir puertas para que lo siga otro malware», dijo el equipo de investigación de Microsoft 365 Defender.
«Refuerza la necesidad de una defensa integral impulsada por una amplia visibilidad de las superficies de ataque, así como expertos en dominios que rastrean el panorama de amenazas y descubren amenazas notables que podrían estar escondidas en medio de datos y señales de amenazas masivas».
