Программы-вымогатели для Android подобрали новые зловещие уловки

Милана Ромазанова | Getty Images

Хотя программы-вымогатели существуют уже много лет, они представляют все большую угрозу для больницы, муниципальные власти, и в основном любое учреждение, которое не терпит простоя. Но вместе с различные типы вредоносных программ для ПК, которые обычно используются В этих атаках есть еще одна быстрорастущая платформа для программ-вымогателей: телефоны Android. Новое исследование Microsoft показывает, что хакеры-преступники вкладывают время и ресурсы в совершенствование своих мобильных программ-вымогателей — это признак того, что их атаки приносят прибыль.

Выпущенный в четверг Выводы, которые были обнаружены с помощью Microsoft Defender на мобильных устройствах, рассмотрим вариант известного семейства программ-вымогателей Android, в котором добавлены хитрые приемы. Это включает в себя новый механизм доставки записки о выкупе, улучшенные методы предотвращения обнаружения и даже компонент машинного обучения, который можно использовать для точной настройки атаки для различных устройств жертв. Хотя мобильные программы-вымогатели существуют с как минимум 2014 и все еще не является повсеместной угрозой, она может быть готова к большему скачку.

«Для всех пользователей важно знать, что программы-вымогатели есть повсюду, и не только для ваших ноутбуков, но и для любых устройств, которые вы используете и подключаетесь к Интернету», — говорит Танмай Ганачарья, возглавляющий исследовательскую группу Microsoft Defender. «Усилия, которые злоумышленники прилагают для компрометации устройства пользователя — их намерение состоит в том, чтобы извлечь из этого выгоду. Они идут туда, где, по их мнению, могут заработать больше всего денег».

Читайте также:
Беспроводные наушники Philips SBH2515 имеют корпус, который служит как powerbank

Мобильные программы-вымогатели могут зашифровать файлы на устройстве так же, как компьютер-вымогатель, но часто использует другой метод. Многие атаки просто заключаются в том, чтобы покрыть весь экран запиской о программе-вымогателе, которая не позволяет вам делать что-либо еще на вашем телефоне, даже после его перезапуска. Злоумышленники обычно злоупотребляли разрешением Android под названием «SYSTEM_ALERT_WINDOW», чтобы создать оверлейное окно, которое нельзя было закрыть или обойти. Сканеры безопасности начали обнаруживать и отмечать приложения, которые могут вызывать такое поведение, и Google добавил защиту от этого. в прошлом году в Android 10. В качестве альтернативы старому подходу программы-вымогатели Android по-прежнему могут злоупотреблять функциями доступности или использовать методы сопоставления для рисования и перерисовки оверлейных окон.

У обнаруженной Microsoft программы-вымогателя, которую она называет AndroidOS / MalLocker.B, другая стратегия. Он вызывает и управляет уведомлениями, предназначенными для использования, когда вы получаете телефонный звонок. Но эта схема отменяет типичный поток вызова, который в конечном итоге переходит на голосовую почту или просто завершается — поскольку фактического вызова нет — и вместо этого искажает уведомления в виде наложения с требованием выкупа, которого вы не можете избежать и которому система отдает приоритет на неограниченный срок.

Исследователи также обнаружили модуль машинного обучения в проанализированных ими образцах вредоносных программ, который можно использовать для автоматического изменения размера и увеличения записки о выкупе в зависимости от размера дисплея устройства жертвы. Учитывая разнообразие телефонов Android, используемых во всем мире, такая функция будет полезна злоумышленникам для обеспечения четкого и разборчивого отображения записки о выкупе. Однако Microsoft обнаружила, что этот компонент машинного обучения на самом деле не был активирован в программе-вымогателе и, возможно, все еще находится в стадии тестирования для будущего использования.

Читайте также:
Антимонопольное слушание по обвинению Apple и других в стратегии «копируй и убивай»

Пытаясь избежать обнаружения собственными системами безопасности Google или другими мобильными сканерами, исследователи Microsoft обнаружили, что программа-вымогатель была разработана для маскировки своих функций и целей. Каждое приложение Android должно включать в себя «файл манифеста», который содержит имена и подробные сведения о его программных компонентах, например судовой манифест, в котором перечислены все пассажиры, экипаж и груз. Но отклонения в файле манифеста часто являются признаком наличия вредоносного ПО, и разработчикам программ-вымогателей удалось не использовать код для многих своих частей. Вместо этого они зашифровали этот код, чтобы его было еще труднее оценить, и спрятали его в другой папке, чтобы программа-вымогатель могла работать, но не сразу раскрыла свой злой умысел. Хакеры также использовали другие методы, в том числе то, что Microsoft называет «искажением имен», для неправильной маркировки и сокрытия компонентов вредоносной программы.

«Это конкретное семейство угроз существует уже какое-то время, и оно использовало множество методов для компрометации пользователя, но мы увидели, что оно не выполняло то, что мы ожидали, или то, что оно делало раньше», — говорит Ганачарья из Microsoft Defender. .

Microsoft заявляет, что видит, что программы-вымогатели в основном распространяются злоумышленниками на онлайн-форумах и через случайные веб-страницы, а не по официальным каналам. Обычно они продают вредоносное ПО, делая его похожим на другие популярные приложения, видеоплееры или игры, чтобы побудить их скачивать. И хотя были некоторые рано программ-вымогателей для iOS это встречается гораздо реже — аналогично тому, как Программа-вымогатель для Mac все еще относительно редко. Microsoft поделилась исследованием с Google перед публикацией, и Google подчеркнул WIRED, что программа-вымогатель не была найдена в ее Play Store.

Читайте также:
Samsung Германия перечислил Samsung Galaxy Tab S7 + 5G на своей странице поддержки

Убедившись, что вы скачивайте приложения для Android только из проверенных магазинов приложений, таких как Google Play — это самый простой способ избежать заражения мобильных программ-вымогателей и защитить себя от других вредоносных программ. Но, учитывая успех программ-вымогателей для ПК, нацеленных как на крупные компании, так и на частных лиц, мобильные программы-вымогатели, возможно, только начинаются.

Эта история впервые появилась на wired.com.