Recent, cei de la Microsoft Defender Research Team au identificat un ransomware sofisticat cu tehnici și comportamente noi, ce targhetează sistemele ce rulează Android, exemplificând evoluția rapidă a amenințărilor de tip ransomware pe segmentul mobile, observate până în prezent pe alte platforme. Fără să specifice denumirea malware-ului analizat, echipa Microsoft Defender Research specifică faptul că acesta a fost identificat ca acționând de ceva vreme, dar cu module care evoluează și sunt actualizate permanent de dezvoltatori. Metodele de propagare, distribuire și infectare sunt însă clasice: prin forumuri folosind diverse tehnici de inginerie socială și prin imitarea unor aplicații populare, jocuri sau playere video.
Noua variantă le-a atras atenția, deoarece este un malware avansat cu caracteristici și un comportament inconfundabil care totuși reușește să păcălească și să se sustragă de la multe mecanisme de protecție, înregistrând o rată de detectare scăzută din partea soluțiilor de securitate.
La fel ca în majoritatea aplicațiilor malware din categoria ransomware pentru Android, această nouă amenințare NU blochează accesul la fișiere prin criptarea acestora. Metoda este mult mai simplă și eficientă: blochează accesul la dispozitiv prin afișarea unei ferestre în mod forțat și permanent peste oricare altă fereastră, astfel încât utilizatorul să nu poată face altceva. Fereastra care blochează orice activitate pe dispozitivul mobil este în fapt este nota de răscumpărare, care conține amenințări și instrucțiuni de plată a răscumpărării.
Inovator la malware este modul în care este afișează nota de răscumpărare, utilizând funcții Android ce nu au mai fost utilizate anterior anterior de malware, precum și afișarea imaginilor pe ecranul telefonului fără distorsiuni prin utilizarea modului open-source de machine learning – TinyML.
Schemă nouă, același scop
În trecut, pentru afișarea nota de răscumpărare era utilizată permisiune specială denumită „SYSTEM_ALERT_WINDOW”. Aplicațiile ce au această permisiune pot afișa pe ecran o fereastră ce nu poate fi respinsă de utilizator. Indiferent ce buton este apăsat, fereastra rămâne deasupra. Permisiunea fost dezvoltată pentru afișarea de alerte sau erori ale sistemului de operare, dar atacatorii au deturnat scopul și au folosit-o pentru ocuparea completă ecranul, blocând accesul la dispozitiv. Astfel, acest scenariu este exploatat pentru convingerea victimelor la plata răscumpărării pentru redobândirea accesului la dispozitiv.
Pentru stoparea acestui mod de operare, eforul soluțiilor de securitate s-au concentrat pe detectarea acestui tip comportament. Google a implementat ulterior modificări la nivel de sistem de operare ce au diminuat posibilitatea deturnării unui dispozitiv prin metoda descrisă anterior.
Dezvoltatorii de aplicații malware de tip ransomware pentru Android nu au intrat în șomaj tehnic și au identificat noi metode ce depășesc bariere sistemului de operare. Nota de răscumpărare este afișată de malware prin exploatarea componentelor Android: notificarea „apel” (“call” notification) și metoda de apelare „onUserLeaveHint ()”. Malware-ul exploatează aceste componente pentru crearea unui tip special de notificare ce declanșează fereastra de răscumpărare prin apel invers.
Așadar, exemplu de față ne demonstrează că evoluția tehnologiei nu stopează progresul atacatorilor, ci mai degrabă rafinează metodele atacatorilor pentru îndeplinirea scopului propus. Deși în acest caz nu este identificată în mod direct o breșă sau vulnerabilitate, exploatarea unor componente ale sistemului de operare într-un anumit context oferă posibilitatea unui atac de tip ransomware într-un mod reinterpretat.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.