0
0
Microsoft adverte sobre ransomware Android que ativa quando você pressiona o botão Home
A Microsoft detectou uma nova variedade de ransomware Amdroid rastreado como MalLocker.B que é ativado quando os usuários pressionam o botão Home.
Pesquisadores da Microsoft detectaram uma nova variedade de ransomware Android que abusa dos mecanismos por trás da notificação de “chamada recebida” e do botão “Home” para bloquear a tela no dispositivo da vítima.
AndroidOS/MalLocker.B é distribuído através de aplicativos Android contaminados disponíveis para download em fóruns online e sites de terceiros.
A nova variante também consegue evitar muitas proteções disponíveis, registrando uma baixa taxa de detecção contra soluções de segurança.
Especialistas acreditam que o malware é particularmente sofisticado, mas implementa novas técnicas e comportamento.
Como outros ransomwares Android, o MalLocker.B não criptografa os arquivos nos dispositivos, mas apenas inibe o acesso ao telefone.
Uma vez instalado, o ransomware exibe uma nota de resgate na tela do telefone e impede que a vítima descarte. A nota de resgate finge ser uma mensagem da polícia russa notificando os usuários que eles violaram a lei e devem compensar pagando uma multa.
Ao longo do tempo, as empresas de segurança detectaram várias cepas de malware móvel que abusaram de vários recursos implementados pelos sistemas operacionais Android para bloquear os proprietários dos dispositivos. Por exemplo, em 2017, especialistas da ESET observaram o DoubleLocker que estava criptografando dados do usuário e alterando o PIN Lock e que abusou do serviço de acessibilidade para se reativar depois que os usuários pressionaram o botão Home.
O que é inovador sobre o ransomware MalLocker.B é como ele exibe sua nota de resgate.
No passado, o ransomware Android usava o “SYSTEM_ALERT_WINDOW” uma permissão especial para exibir sua nota de resgate.
Essa permissão permite que os aplicativos desenhem uma janela que pertence ao grupo do sistema e não pode ser descartada, independentemente de qualquer botão pressionado pelas vítimas.
O mecanismo real implementado pelo ransomware MalLocker.B para exibir a nota de resgate é composto por duas partes.
A primeira parte abusa da notificação de “chamada” que ativa as chamadas recebidas para mostrar informações sobre o chamador. O ransomware abusa desse recurso para mostrar uma janela que cobre toda a tela do dispositivo. A segunda parte abusa da função “onUserLeaveHint()” que é chamada quando os usuários querem empurrar um aplicativo para o fundo e mudar para um novo aplicativo. Esse recurso é acionado toda vez que os usuários pressionam botões como Home ou Recents. MalLocker.B abusa dessa função para evitar que as vítimas deixem a nota de resgate para a tela inicial ou outro aplicativo.
“O malware conecta os pontos e usa esses dois componentes para criar um tipo especial de notificação que aciona a tela de resgate através do callback.” lê a análise publicada pela Microsoft. “Como o trecho de código mostra, o malware substitui a função de retorno de chamada onUserLeaveHint() da classe Activity. A função onUserLeaveHint() é chamada sempre que a tela de malware é empurrada para o fundo, fazendo com que a atividade de chamada seja automaticamente levada para o primeiro plano. Lembre-se que o malware ligou a intenção do RansomActivity com a notificação que foi criada como uma notificação do tipo “chamada”. Isso cria uma cadeia de eventos que aciona o pop-up automático da tela do ransomware sem fazer redesenho infinito ou posar como janela do sistema.”
Esta é a primeira vez que especialistas observam o abuso simultâneo desses dois recursos em um ransomware que sequestra o botão Home.
Para evitar ser infectado pelo MalLocker.B e usuários de malware semelhantes, é aconselhável evitar a instalação de aplicativos Android em lojas ou fóruns de terceiros.
FONTE: SECURITY AFFAIRS