Android勒索软件学到了一些不祥的新把戏

2020-10-11 17:06:27

尽管勒索软件已经存在多年,但它对医院、市政府和基本上任何不能容忍停机的机构构成了越来越大的威胁。但是,除了这些攻击中通常使用的各种类型的PC恶意软件之外,还有另一个新兴的勒索软件平台:Android手机。微软的新研究显示,犯罪黑客正在投入时间和资源来完善他们的移动勒索软件工具-这是他们的攻击正在产生回报的迹象。

周四公布的这些发现是在移动设备上使用Microsoft Defender检测到的,它着眼于一个已知的Android勒索软件家族的一个变体,该家族增加了一些聪明的技巧。这包括一种新的赎金纸条传送机制,改进的避免被发现的技术,甚至还有一个机器学习组件,可以用来针对不同的受害者设备微调攻击。虽然移动勒索软件至少在2014年就已经出现,至今仍不是一个无处不在的威胁,但它可能会有更大的飞跃。

Microsoft Defender研究团队负责人坦梅·加纳查里亚(TanMay Ganacharya)表示,所有用户都要意识到勒索软件无处不在,这一点很重要,它不仅适用于你的笔记本电脑,也适用于你使用并连接到互联网的任何设备。攻击者为危害用户的设备而付出的努力-他们的意图是从中获利。他们去他们认为能赚到最多钱的地方。

移动勒索软件可以像PC勒索软件那样加密设备上的文件,但它通常使用不同的方法。许多攻击只是在你的整个屏幕上贴上一个勒索软件笔记,阻止你在手机上做任何其他事情,即使在你重启手机之后也是如此。攻击者通常会滥用名为SYSTEM_ALERT_WINDOW的Android权限创建一个您无法消除或规避的覆盖窗口。不过,安全扫描程序开始检测并标记可能产生这种行为的应用程序,谷歌去年在Android 10中增加了针对这种行为的保护。作为旧方法的替代方案,Android勒索软件仍然可以滥用可访问性功能,或者使用地图技术来绘制和重新绘制覆盖窗口。

微软观察到的被称为AndroidOS/MalLocker.B的勒索软件有不同的策略。它调用并处理您在重新接到电话时使用的通知。但该方案覆盖了电话最终转到语音信箱或干脆结束的典型流程(因为没有实际的电话),而是将通知扭曲为你无法避免的赎金通知覆盖,并且系统永远优先考虑这一点。

研究人员还在他们分析的恶意软件样本中发现了一个机器学习模块,可以用来根据受害者设备显示屏的大小自动调整和缩放赎金纸条的大小。考虑到世界各地使用的Android手机的多样性,这样的功能对攻击者来说很有用,可以确保赎金纸条显示得干净清晰。不过,微软发现这个ML组件实际上并没有在勒索软件中激活,可能仍在测试中以备将来使用。

为了躲避谷歌自己的安全系统或其他移动扫描仪的检测,微软的研究人员发现,勒索软件的设计目的是掩盖其功能和目的。每个Android应用程序都必须包含一个清单文件,该文件包含其软件组件的名称和详细信息,就像列出所有乘客、船员和货物的船舶清单一样。但清单文件中的异常通常是恶意软件的指示器,勒索软件开发人员设法省略了他们的许多部分的代码。取而代之的是,他们对代码进行了加密,使其更难评估,并将其隐藏在另一个文件夹中,这样勒索软件仍然可以运行,但不会立即暴露其恶意意图。黑客还使用了其他技术,包括微软所谓的名称篡改,错误标记和隐藏恶意软件的组件。

这一特殊的威胁家族已经存在了一段时间,它使用了许多技术来危害用户,但我们在这里看到的是,它没有做我们预期的事情,也没有做它过去做的事情,微软辩护人的加纳查里亚说。这一威胁家族已经存在了一段时间,它使用了许多技术来危害用户,但我们在这里看到的是,它没有做我们预期的事情,也没有做它过去做过的事情。

微软表示,他们看到的勒索软件大多是由攻击者在在线论坛和随机网页上分发的,而不是官方渠道。他们通常通过让恶意软件看起来像其他流行的应用程序、视频播放器或游戏来吸引下载,从而推销恶意软件。尽管已经有一些iOS勒索软件的早期例子,但这种情况仍然很少见-类似于Mac勒索软件仍然相对罕见。微软在发布之前与谷歌分享了这项研究,谷歌向连线强调,在其Play Store中没有发现勒索软件。

确保你只从谷歌Play等可信的应用商店下载Android应用,这是避免手机勒索软件和保护自己免受其他各种恶意软件攻击的最简单方式。但鉴于PC勒索软件成功地瞄准了大企业和个人,移动勒索软件可能才刚刚开始。