GryNowościOprogramowanie

Oprogramowanie ransomware na Androida wykryło kilka złowieszczych nowych sztuczek

Oprogramowanie ransomware na Androida wykryło kilka złowieszczych nowych sztuczek

Milana Romazanova | Getty Images

Chociaż oprogramowanie ransomware istnieje od lat, stanowi coraz większe zagrożenie dla szpitali, władz miejskich i praktycznie każdej instytucji, która nie może tolerować przestojów. Ale oprócz różnych typów złośliwego oprogramowania dla komputerów PC, które są zwykle używane w tych atakach, istnieje również rozwijająca się platforma dla oprogramowania ransomware: telefony z systemem Android. Nowe badania firmy Microsoft pokazują, że hakerzy-przestępcy inwestują czas i zasoby w udoskonalanie swoich mobilnych narzędzi ransomware – to znak, że ich ataki przynoszą zyski.

Opublikowane w czwartek wyniki, które zostały wykryte za pomocą Microsoft Defender na urządzeniach mobilnych, dotyczą wariantu znanej rodziny ransomware dla Androida, do którego dodano kilka sprytnych sztuczek. Obejmuje to nowy mechanizm dostarczania okupu, ulepszone techniki unikania wykrycia, a nawet komponent uczenia maszynowego, który można wykorzystać do dostrojenia ataku na urządzenia różnych ofiar. Chociaż mobilne oprogramowanie ransomware istnieje od co najmniej 2014 roku i nadal nie jest wszechobecnym zagrożeniem, może być gotowe na większy skok.

„Ważne jest, aby wszyscy użytkownicy wiedzieli, że oprogramowanie ransomware jest wszędzie i nie dotyczy tylko laptopów, ale każdego urządzenia, z którego korzystasz i łączysz się z Internetem” – mówi Tanmay Ganacharya, który kieruje zespołem badawczym Microsoft Defender. „Wysiłek włożony przez napastników w celu złamania zabezpieczeń urządzenia użytkownika – ich celem jest czerpanie z tego korzyści. Udają się tam, gdzie uważają, że mogą zarobić najwięcej pieniędzy”.

Mobilne oprogramowanie ransomware może szyfrować pliki na urządzeniu w taki sam sposób, jak oprogramowanie ransomware na komputery PC, ale często używa innej metody. Wiele ataków polega po prostu na przyklejeniu całego ekranu notatką ransomware, która blokuje wykonywanie jakichkolwiek innych czynności na telefonie, nawet po ponownym uruchomieniu. Atakujący zazwyczaj nadużywali uprawnienia systemu Android o nazwie „SYSTEM_ALERT_WINDOW”, aby utworzyć nakładane okno, którego nie można odrzucić ani obejść. Skanery bezpieczeństwa zaczęły jednak wykrywać i oznaczać aplikacje, które mogą powodować takie zachowanie. W zeszłym roku Google dodał zabezpieczenia przed tym problemem w Androidzie 10. Alternatywą dla starego podejścia jest ransomware dla Androida, które nadal może nadużywać funkcji ułatwień dostępu lub używać technik mapowania do rysowania i przerysuj okna nakładek.

Zaobserwowane przez Microsoft oprogramowanie ransomware, które nazywa AndroidOS / MalLocker.B, ma inną strategię. Wywołuje i manipuluje powiadomieniami przeznaczonymi do użycia podczas odbierania połączenia telefonicznego. Ale schemat zastępuje typowy przepływ połączenia, które ostatecznie przechodzi do poczty głosowej lub po prostu się kończy – ponieważ nie ma rzeczywistego połączenia – i zamiast tego zniekształca powiadomienia w nakładkę z żądaniem okupu, której nie można uniknąć i który system nadaje priorytet na zawsze.

Badacze odkryli również moduł uczenia maszynowego w analizowanych przez siebie próbkach złośliwego oprogramowania, który może być używany do automatycznego określania rozmiaru i powiększania informacji o okupie na podstawie rozmiaru wyświetlacza urządzenia ofiary. Biorąc pod uwagę różnorodność telefonów z Androidem używanych na całym świecie, taka funkcja byłaby przydatna dla atakujących, aby zapewnić, że żądanie okupu jest wyświetlane w sposób czysty i czytelny. Microsoft stwierdził jednak, że ten składnik ML nie został faktycznie aktywowany w oprogramowaniu ransomware i może nadal być testowany do przyszłego użytku.

Próbując uniknąć wykrycia przez własne systemy bezpieczeństwa Google lub inne mobilne skanery, badacze Microsoftu odkryli, że oprogramowanie ransomware zostało zaprojektowane w celu maskowania jego funkcji i celu. Każda aplikacja na Androida musi zawierać „plik manifestu”, który zawiera nazwy i szczegóły jej składników oprogramowania, np. Manifest statku zawierający listę wszystkich pasażerów, załogi i ładunku. Ale aberracje w pliku manifestu są często wskaźnikiem złośliwego oprogramowania, a twórcom oprogramowania ransomware udało się pominąć kod dla wielu ich części. Zamiast tego zaszyfrowali ten kod, aby jeszcze trudniej było go ocenić, i ukryli go w innym folderze, aby oprogramowanie ransomware mogło nadal działać, ale nie ujawniłoby od razu jego złośliwych zamiarów. Hakerzy wykorzystali również inne techniki, w tym coś, co Microsoft nazywa „zniekształcaniem nazw”, aby błędnie oznaczyć i ukryć składniki szkodliwego oprogramowania.

„Ta szczególna rodzina zagrożeń istnieje już od jakiegoś czasu i wykorzystuje wiele technik, aby narażać użytkownika na niebezpieczeństwo, ale widzieliśmy tutaj, że nie robiła tego, czego oczekiwaliśmy, ani tego, co robiła w przeszłości” – mówi Ganacharya z Microsoft Defender .

Microsoft twierdzi, że widzi ransomware głównie rozprowadzane przez atakujących na forach internetowych i za pośrednictwem przypadkowych stron internetowych, a nie oficjalnych kanałów. Zwykle sprzedają złośliwe oprogramowanie, nadając mu wygląd innych popularnych aplikacji, odtwarzaczy wideo lub gier, aby zachęcić do pobrania. I chociaż pojawiło się kilka wczesnych programów ransomware na iOS, jest to nadal znacznie mniej powszechne – podobnie jak oprogramowanie ransomware dla komputerów Mac jest nadal stosunkowo rzadkie. Microsoft udostępnił badanie Google przed publikacją, a Google podkreślił WIRED, że ransomware nie został znaleziony w jego Sklepie Play.

Upewnienie się, że pobierasz aplikacje na Androida tylko z zaufanych sklepów z aplikacjami, takich jak Google Play, jest najłatwiejszym sposobem uniknięcia mobilnego oprogramowania ransomware i ochrony przed wszelkiego rodzaju innym złośliwym oprogramowaniem. Biorąc jednak pod uwagę sukces oprogramowania ransomware dla komputerów PC, który atakuje zarówno duże firmy, jak i osoby prywatne, mobilne oprogramowanie ransomware może dopiero się rozpoczynać.

Ta historia pojawiła się pierwotnie na wired.com.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook