最近微軟已經(jīng)發(fā)出了警告，一種新型的移動(dòng)勒索軟件開(kāi)始出現(xiàn)，該軟件利用來(lái)電通知和Android的“Home”按鈕將設(shè)備鎖定，然后進(jìn)行勒索。

微軟研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)名為“MalLocker.B”的已知Android勒索軟件家族的變體，該家族現(xiàn)在已經(jīng)采用新技術(shù)重新出現(xiàn)，包括采用對(duì)受感染設(shè)備的勒索需求的新穎方法以及采用一種逃避安全解決方案的混淆處理機(jī)制。

針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的勒索軟件攻擊平均每天增加了50%，網(wǎng)絡(luò)犯罪分子越來(lái)越多地將雙重勒索手段（double extortion）納入他們的攻擊策略之中。雙重勒索手段（double extortion）即在對(duì)受害者的數(shù)據(jù)庫(kù)進(jìn)行加密之前，攻擊者會(huì)提取大量敏感的商業(yè)信息，并威脅要發(fā)布這些信息。

眾所周知，MalLocker托管在惡意網(wǎng)站上，并通過(guò)偽裝成流行的應(yīng)用程序，破解游戲或視頻播放器，利用各種社會(huì)工程學(xué)誘餌在在線論壇上傳播。

先前的Android勒索軟件都利用了稱為“ SYSTEM_ALERT_WINDOW”的Android可訪問(wèn)性功能，在所有其他屏幕上方顯示一個(gè)持久窗口以顯示勒索通知，勒索通知通常偽裝成彈出的安全警報(bào)通知或關(guān)于在設(shè)備上發(fā)現(xiàn)所謂的攻擊信息。

但是，正如反惡意軟件開(kāi)始檢測(cè)到這種行為一樣，新的Android勒索軟件變種也具備了對(duì)應(yīng)的反檢測(cè)功能，MalLocker.B的特別之處就在于它通過(guò)全新的策略實(shí)現(xiàn)了勒索。

為此，它利用了“呼叫”通知，該通知用于提醒用戶有關(guān)來(lái)電的信息，以顯示一個(gè)覆蓋整個(gè)屏幕區(qū)域的窗口，然后將其與“Home”與“Recent鍵組合以觸發(fā)贖金記錄，并防止受害者切換到其他任何屏幕。簡(jiǎn)單來(lái)說(shuō)，就是Android勒索軟件通常會(huì)通過(guò)在屏幕上覆蓋一張勒索通知來(lái)阻止用戶對(duì)受感染設(shè)備的訪問(wèn)，這會(huì)屏蔽設(shè)備顯示屏上的所有內(nèi)容，從而使設(shè)備無(wú)法使用。

按著微軟的說(shuō)法：“觸發(fā)勒索軟件屏幕的自動(dòng)彈出無(wú)需進(jìn)行無(wú)限重繪或假裝成系統(tǒng)窗口?！?/p>

2019年9月發(fā)布的Android 10在某種程度上消除了這些所謂的“覆蓋攻擊”，但MalLocker.B通過(guò)操作系統(tǒng)的來(lái)電通知方式繞過(guò)了該保護(hù)措施。攻擊者除了逐步完善一系列顯示勒索軟件屏幕的技術(shù)外，還開(kāi)發(fā)了一種尚待集成的機(jī)器學(xué)習(xí)模型，該模型可用于將勒索票據(jù)圖像擬合到屏幕中而不會(huì)變形，這也代表了該惡意軟件的下一步發(fā)展方向。

此外，為了掩蓋其真正目的，攻擊者會(huì)將勒索軟件代碼嚴(yán)重混淆，并且通過(guò)名稱修改和故意使用無(wú)意義的變量名和垃圾代碼來(lái)阻止分析，從而使分析過(guò)程變得復(fù)雜。

微軟365 Defender研究小組發(fā)現(xiàn)，這種新的移動(dòng)勒索軟件變種是一個(gè)重要發(fā)現(xiàn)，因?yàn)樵搻阂廛浖憩F(xiàn)出前所未有的功能行為，并可能成為其他惡意軟件的樣本。

本文翻譯自：https://thehackernews.com/2020/10/android-ransomware-lock.html
責(zé)編AJX