防病毒软件系统越来越好。但是,恶意软件开发人员也不会闲着,而是为各种平台和操作系统创建了更高级的恶意软件版本。
大多数情况下,攻击者对特定平台或操作系统的关注是由于这些系统的普及。很简单-他们拥有的用户越多,成功进行重大攻击的机会就越大。Android是恶意软件开发人员最有吸引力的目标之一。Microsoft最近发布了针对该操作系统的新一代恶意软件的结果。
适用于Android的恶意软件?它们已经存在了很多年,而有些则更少。
通常,一切都是正确的,但是Microsoft的信息安全专家发现的恶意软件对其功能感到惊讶。我们正在谈论的是AndroidOS / MalLocker.B,这是一种用于Android的勒索软件。
它的最新一代产品能够绕过防病毒软件市场提供的几乎所有保护系统。
为了显示该消息(如上图所示),该恶意软件使用了SYSTEM_ALERT_WINDOW特殊权限。它使应用程序可以显示具有系统“容忍”级别的窗口,因此防病毒软件无法抵消。
Android开发人员使用SYSTEM_ALERT_WINDOW 实现了有关系统中问题和错误的消息显示。恶意软件开发人员使用“系统”消息显示汇款请求,同时阻止设备的所有其他功能。它通常很奏效,而且经验不足的用户确实会为此付费。
为了避免这种危险,Android开发人员在最新的OS版本中进行了一些更改:
- 用其他错误/通知消息窗口调用类型替换了SYSTEM_ALERT_WINDOW。
- 引入了一个用户请求,以允许将SYSTEM_ALERT_WINDOW用于不同的应用程序,而不是一起使用。
- 添加了由用户停用SYSTEM_ALERT_WINDOW窗口的功能。
恶意软件开发人员试图适应。例如,将带有赎金要求的窗口绘制过程引入了循环。但这并不是一种特别有效的方法,因为用户可以最小化所有内容,进行设置并删除有问题的应用程序。
但是现在一切都变了,恶意软件的开发人员也变成了“不是混蛋”。
AndroidOS / MalLocker.B到底做什么?
下一代恶意软件与呼叫窗口功能进行交互。关闭窗口并不容易,因为它具有较高的优先级。在窗口本身内,会显示相同的文本,要求将钱存入网络罪犯的钱包。
为此,使用了两个组件,它们使您可以创建特殊的通知类型,然后激活电话窗口。
当onUserLeaveHint激活 此功能时,该功能将在您按下“主页”或“最近”之类的按钮时激活。该恶意软件使用它来防止用户返回主屏幕,最小化勒索窗口或切换到另一个应用程序。这种策略是新的,因为勒索软件曾经使用DoubleLocker并将其与Accessibility服务结合使用。
勒索软件的另一个新功能是使用机器学习模块,该模块允许恶意软件确定消息框所需的大小,使其适应设备的屏幕大小和其他功能。由于Android平板电脑和手机的型号太多,这对于勒索软件来说是极其有用的“技能”。
下图显示了不同类型的恶意软件如何工作,包括最新“家族”的代表。点击即可打开全尺寸图片。
安全专家认为,这个勒索软件分支的发展还远远没有走到尽头-仍然有几代人拥有新的特性和功能。
保护旁路和分配方法
AndroidOS / MalLocker.B的开发人员教他们的“聪明人”绕过常规的Google安全系统和第三方防病毒解决方案。这是通过掩盖勒索软件的某些功能来实现的。
因此,任何Android应用程序都包含一个“清单文件”,其中包含所有软件组件的名称和详细信息。恶意软件开发人员通常会掩盖和隐藏一些重要组件。新勒索软件的创建者选择了另一条路径-他们混淆了阻止防病毒应用程序检测恶意软件的代码。此外,该文件隐藏在另一个文件夹中,因此勒索软件可以工作,但不能显示“其意图的真相”。
新的恶意软件不太可能进入Google Play商店,但它可以毫无问题地进入第三方应用程序目录。现在,勒索软件已由开发人员分发到论坛,常规网站,Android应用程序的第三方目录中。这里没有什么新鲜事物了,网络犯罪分子的策略是标准的-将恶意软件伪装成流行的应用程序,视频游戏,播放器或类似的东西。
为了防止恶意软件的传播,微软甚至在勒索软件研究的结果公开之前就与Google分享了有关它的详细信息。信息安全专家给用户的建议是最简单的-从受信任的来源下载应用程序,而不是单击可疑链接,包括电子邮件中包含的那些链接。
