Os sistemas de software antivírus estão cada vez melhores. Mas os desenvolvedores de malware também estão ocupados criando versões mais avançadas de software malicioso para uma ampla variedade de plataformas e sistemas operacionais.
Na maioria das vezes, a atenção dos invasores a uma plataforma ou sistema operacional específico se deve à popularidade desses sistemas. É simples - quanto mais usuários eles têm, maior a chance de um grande ataque bem-sucedido. Um dos alvos mais atraentes para desenvolvedores de malware é o Android. A Microsoft publicou recentemente os resultados de uma nova geração de malware para este sistema operacional.
Malware para Android? Eles existem há muitos anos, alguns mais, outros menos.
Em geral, tudo é verdade, mas o malware descoberto por especialistas em segurança da informação da Microsoft surpreende com seus recursos. Estamos falando sobre AndroidOS / MalLocker.B , uma das variedades de ransomware para Android.
Sua última geração é capaz de contornar quase todos os sistemas de proteção oferecidos pelo mercado de software antivírus.
Para exibir a mensagem, cuja captura de tela é mostrada acima, o malware usou a permissão especial SYSTEM_ALERT_WINDOW . Ele permite que o aplicativo exiba uma janela com um nível de "tolerância" do sistema, para que o software antivírus não consiga neutralizar.
Desenvolvedores Android, utilizando SYSTEM_ALERT_WINDOW, implementaram a exibição de mensagens sobre problemas e erros no sistema. Os desenvolvedores de software malicioso usam uma mensagem de "sistema" para mostrar uma solicitação de envio de dinheiro, enquanto todas as outras funções do dispositivo são bloqueadas. Muitas vezes funciona, e o usuário inexperiente realmente paga.
Os desenvolvedores Android introduziram várias mudanças nas versões recentes do sistema operacional para evitar este perigo:
- Substituído SYSTEM_ALERT_WINDOW por outros tipos de chamada de janela de mensagem de erro / notificação.
- Introduziu uma solicitação de usuário para permissão para usar SYSTEM_ALERT_WINDOW para aplicativos diferentes, não todos juntos.
- Adicionada a capacidade de desativar a janela SYSTEM_ALERT_WINDOW pelo usuário.
Desenvolvedores de software maliciosos tentaram se adaptar. Por exemplo, o processo de desenhar janelas com pedido de resgate foi introduzido no ciclo. Mas esse não era um método particularmente eficaz, pois o usuário podia minimizar tudo, ir para as configurações e excluir o aplicativo problemático.
Mas agora que tudo mudou, os desenvolvedores do software malicioso também se revelaram "não um bastardo".
O que exatamente o AndroidOS / MalLocker.B faz?
O malware de última geração interage com a função de janela de chamada. Fechar a janela não é fácil porque tem alta prioridade. Dentro da própria janela, o mesmo texto é exibido com a solicitação de envio de dinheiro para a carteira dos cibercriminosos.
Para fazer isso, são usados dois componentes que permitem criar um tipo especial de notificação, que ativa a janela de chamada telefônica.
Quando ativado , onUserLeaveHint , um recurso que é ativado quando você pressiona botões como Home ou Recentes. O malware o usa para evitar que o usuário volte à tela inicial, minimizando a janela de resgate ou alternando para outro aplicativo. Essa tática é nova, pois o ransomware costumava usar o DoubleLocker e combiná-lo com o serviço de acessibilidade.
Outra novidade do ransomware é a utilização de um módulo de aprendizado de máquina, que permite ao malware determinar o tamanho necessário da caixa de mensagem, adaptando-o ao tamanho da tela e demais recursos do dispositivo. Uma vez que existem tantos modelos de tablets e telefones Android, esta é uma "habilidade" extremamente útil para ransomware.
Abaixo está um diagrama de como diferentes tipos de malware funcionam, incluindo representantes da última "família". A imagem em tamanho real será aberta com um clique.
Os especialistas em segurança sugerem que a evolução deste ramo do ransomware está longe de ser um beco sem saída - ainda existem várias gerações à frente com novos recursos e capacidades.
Bypass de proteção e métodos de distribuição
Os desenvolvedores do AndroidOS / MalLocker.B ensinaram sua "criação" a contornar o sistema de segurança regular do Google e as soluções antivírus de terceiros. Ele faz isso mascarando alguns dos recursos e capacidades do ransomware.
Assim, qualquer aplicativo Android inclui um "arquivo de manifesto" que contém os nomes e detalhes de todos os componentes de software. Os desenvolvedores de malware geralmente mascaram e ocultam alguns componentes importantes. Os criadores do novo ransomware escolheram um caminho diferente - eles ofuscam o código que impede que aplicativos antivírus detectem malware. Além disso, o arquivo está oculto em outra pasta, para que o ransomware possa funcionar, mas não mostre "a verdade de suas intenções".
É improvável que o novo malware entre na Google Play Store, mas pode entrar em catálogos de aplicativos de terceiros sem muitos problemas. Agora, o ransomware é distribuído por desenvolvedores em fóruns, sites regulares, catálogos de aplicativos Android de terceiros. Não há nada de novo aqui, as táticas dos cibercriminosos são padrão - disfarçar o software malicioso como um aplicativo popular, videogame, player ou algo parecido.
Para evitar a propagação do malware, a Microsoft compartilhou informações detalhadas sobre ele com o Google - mesmo antes de os resultados do estudo de ransomware virem a público. As recomendações fornecidas por especialistas em segurança da informação aos usuários são as mais simples - baixe aplicativos de fontes confiáveis e não clique em links suspeitos, incluindo aqueles contidos em mensagens de e-mail.
