最近微軟已經(jīng)發(fā)出了警告，一種新型的移動勒索軟件開始出現(xiàn)，該軟件利用來電通知和Android的“Home”按鈕將設(shè)備鎖定，然后進行勒索。

微軟研究團隊發(fā)現(xiàn)了一個名為“MalLocker.B”的已知Android勒索軟件家族的變體，該家族現(xiàn)在已經(jīng)采用新技術(shù)重新出現(xiàn)，包括采用對受感染設(shè)備的勒索需求的新穎方法以及采用一種逃避安全解決方案的混淆處理機制。

針對關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊平均每天增加了50%，網(wǎng)絡(luò)犯罪分子越來越多地將雙重勒索手段（double extortion）納入他們的攻擊策略之中。雙重勒索手段（double extortion）即在對受害者的數(shù)據(jù)庫進行加密之前，攻擊者會提取大量敏感的商業(yè)信息，并威脅要發(fā)布這些信息。

眾所周知，MalLocker托管在惡意網(wǎng)站上，并通過偽裝成流行的應(yīng)用程序，破解游戲或視頻播放器，利用各種社會工程學(xué)誘餌在在線論壇上傳播。

先前的Android勒索軟件都利用了稱為“ SYSTEM_ALERT_WINDOW”的Android可訪問性功能，在所有其他屏幕上方顯示一個持久窗口以顯示勒索通知，勒索通知通常偽裝成彈出的安全警報通知或關(guān)于在設(shè)備上發(fā)現(xiàn)所謂的攻擊信息。

但是，正如反惡意軟件開始檢測到這種行為一樣，新的Android勒索軟件變種也具備了對應(yīng)的反檢測功能，MalLocker.B的特別之處就在于它通過全新的策略實現(xiàn)了勒索。

為此，它利用了“呼叫”通知，該通知用于提醒用戶有關(guān)來電的信息，以顯示一個覆蓋整個屏幕區(qū)域的窗口，然后將其與“Home”與“Recent鍵組合以觸發(fā)贖金記錄，并防止受害者切換到其他任何屏幕。簡單來說，就是Android勒索軟件通常會通過在屏幕上覆蓋一張勒索通知來阻止用戶對受感染設(shè)備的訪問，這會屏蔽設(shè)備顯示屏上的所有內(nèi)容，從而使設(shè)備無法使用。

按著微軟的說法：“觸發(fā)勒索軟件屏幕的自動彈出無需進行無限重繪或假裝成系統(tǒng)窗口。”

2019年9月發(fā)布的Android 10在某種程度上消除了這些所謂的“覆蓋攻擊”，但MalLocker.B通過操作系統(tǒng)的來電通知方式繞過了該保護措施。攻擊者除了逐步完善一系列顯示勒索軟件屏幕的技術(shù)外，還開發(fā)了一種尚待集成的機器學(xué)習模型，該模型可用于將勒索票據(jù)圖像擬合到屏幕中而不會變形，這也代表了該惡意軟件的下一步發(fā)展方向。

此外，為了掩蓋其真正目的，攻擊者會將勒索軟件代碼嚴重混淆，并且通過名稱修改和故意使用無意義的變量名和垃圾代碼來阻止分析，從而使分析過程變得復(fù)雜。

微軟365 Defender研究小組發(fā)現(xiàn)，這種新的移動勒索軟件變種是一個重要發(fā)現(xiàn)，因為該惡意軟件表現(xiàn)出前所未有的功能行為，并可能成為其他惡意軟件的樣本。

本文翻譯自：https://thehackernews.com/2020/10/android-ransomware-lock.html
責編AJX