[[346416]]

最近微軟已經(jīng)發(fā)出了警告，一種新型的移動(dòng)勒索軟件開始出現(xiàn)，該軟件利用來電通知和Android的“Home”按鈕將設(shè)備鎖定，然后進(jìn)行勒索。

微軟研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)名為“MalLocker.B”的已知Android勒索軟件家族的變體，該家族現(xiàn)在已經(jīng)采用新技術(shù)重新出現(xiàn)，包括采用對(duì)受感染設(shè)備的勒索需求的新穎方法以及采用一種逃避安全解決方案的混淆處理機(jī)制。

針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊平均每天增加了50%，網(wǎng)絡(luò)犯罪分子越來越多地將雙重勒索手段（double extortion）納入他們的攻擊策略之中。雙重勒索手段（double extortion）即在對(duì)受害者的數(shù)據(jù)庫進(jìn)行加密之前，攻擊者會(huì)提取大量敏感的商業(yè)信息，并威脅要發(fā)布這些信息。

眾所周知，MalLocker托管在惡意網(wǎng)站上，并通過偽裝成流行的應(yīng)用程序，破解游戲或視頻播放器，利用各種社會(huì)工程學(xué)誘餌在在線論壇上傳播。

先前的Android勒索軟件都利用了稱為“ SYSTEM_ALERT_WINDOW”的Android可訪問性功能，在所有其他屏幕上方顯示一個(gè)持久窗口以顯示勒索通知，勒索通知通常偽裝成彈出的安全警報(bào)通知或關(guān)于在設(shè)備上發(fā)現(xiàn)所謂的攻擊信息。

但是，正如反惡意軟件開始檢測(cè)到這種行為一樣，新的Android勒索軟件變種也具備了對(duì)應(yīng)的反檢測(cè)功能，MalLocker.B的特別之處就在于它通過全新的策略實(shí)現(xiàn)了勒索。

為此，它利用了“呼叫”通知，該通知用于提醒用戶有關(guān)來電的信息，以顯示一個(gè)覆蓋整個(gè)屏幕區(qū)域的窗口，然后將其與“Home”與“Recent鍵組合以觸發(fā)贖金記錄，并防止受害者切換到其他任何屏幕。簡(jiǎn)單來說，就是Android勒索軟件通常會(huì)通過在屏幕上覆蓋一張勒索通知來阻止用戶對(duì)受感染設(shè)備的訪問，這會(huì)屏蔽設(shè)備顯示屏上的所有內(nèi)容，從而使設(shè)備無法使用。

按著微軟的說法：“觸發(fā)勒索軟件屏幕的自動(dòng)彈出無需進(jìn)行無限重繪或假裝成系統(tǒng)窗口。”

2019年9月發(fā)布的Android 10在某種程度上消除了這些所謂的“覆蓋攻擊”，但MalLocker.B通過操作系統(tǒng)的來電通知方式繞過了該保護(hù)措施。攻擊者除了逐步完善一系列顯示勒索軟件屏幕的技術(shù)外，還開發(fā)了一種尚待集成的機(jī)器學(xué)習(xí)模型，該模型可用于將勒索票據(jù)圖像擬合到屏幕中而不會(huì)變形，這也代表了該惡意軟件的下一步發(fā)展方向。

此外，為了掩蓋其真正目的，攻擊者會(huì)將勒索軟件代碼嚴(yán)重混淆，并且通過名稱修改和故意使用無意義的變量名和垃圾代碼來阻止分析，從而使分析過程變得復(fù)雜。

微軟365 Defender研究小組發(fā)現(xiàn)，這種新的移動(dòng)勒索軟件變種是一個(gè)重要發(fā)現(xiàn)，因?yàn)樵搻阂廛浖憩F(xiàn)出前所未有的功能行為，并可能成為其他惡意軟件的樣本。

本文翻譯自：https://thehackernews.com/2020/10/android-ransomware-lock.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。