company_banner

Microsoft: новое поколение ransomware для Android гораздо опаснее предшественников


    Системы антивирусного ПО становятся все совершеннее. Но и разработчики malware не сидят без дела, создавая более продвинутые версии зловредного программного обеспечения для самых разных платформ и операционных систем.

    Чаще всего внимание злоумышленников к определенной платформе или ОС обусловлены популярностью этих систем. Все просто — чем больше у них пользователей, тем больше шанс на удачную крупную атаку. Одна из наиболее привлекательных целей для разработчиков зловредов — Android. Корпорация Microsoft на днях опубликовала результаты исследования нового поколения malware для этой операционной системы.

    Зловреды для Android? Они существуют много лет, одним больше, другим меньше


    В целом, все так и есть, но malware, которое обнаружили эксперты по ИБ из Microsoft, удивляет своими возможностями. Речь идет о AndroidOS/MalLocker.B, одной из разновидностей вымогателей для Android.

    Последнее его поколение способно обходить практически все системы защиты, предлагаемые рынком антивирусного ПО.

    Результат работы одного из представителей семейства ransomware прежних версий

    Для демонстрации сообщения, скриншот которого показан выше, зловреды использовали специальное разрешение SYSTEM_ALERT_WINDOW. Оно дает возможность приложению выводить окно с системным уровнем «допуска», благодаря чему антивирусное ПО не в состоянии противодействовать.

    Разработчики Android при помощи SYSTEM_ALERT_WINDOW реализовали вывод сообщений о проблемах и ошибках в системе. Разработчики зловредного ПО при помощи «системного» сообщения показывают требование отправить деньги, причем все остальные функции устройства при этом блокируются. Довольно часто это срабатывает, и неискушенный в технологиях пользователь действительно платит.

    Разработчики Android ввели в последних версиях ОС несколько изменений, которые позволяли избежать этой опасности:

    • Заменили SYSTEM_ALERT_WINDOW другими типами вызова окна сообщения об ошибках/уведомлениях.
    • Ввели запрос пользователя о разрешение использования SYSTEM_ALERT_WINDOW для разных приложений, а не всех вместе.
    • Добавили возможность деактивации окна SYSTEM_ALERT_WINDOW пользователем.

    Разработчики зловредного ПО пытались адаптироваться. Например, вводили в цикл процесс отрисовки окон с требованием «выкупа». Но это не было особенно эффективным методом, поскольку пользователь мог все свернуть, зайти в настройки и удалить проблемное приложение.

    Но сейчас все изменилось, разработчики зловредного ПО тоже оказались «не лыком шиты».

    Что конкретно делает AndroidOS/MalLocker.B?


    Зловред нового поколения взаимодействует с функцией вызова окна звонка. Закрыть окно не так просто, поскольку у него высокий приоритет. Внутри самого окна демонстрируется все тот же текст с требованием отправить деньги на кошелек злоумышленников.

    Для этого используется два компонента, которые позволяют создать специальный тип уведомления, который и задействует затем окно телефонного вызова.


    При этом задействуется onUserLeaveHint, функция, которая активируется при нажатии таких кнопок, как Home или Recents. Вредонос использует ее для того, чтобы не дать пользователю вернуться на домашний экран, свернуть окно с требованием выкупа или переключиться на другое приложение. Подобная тактика — в новинку, поскольку раньше вымогатели использовали DoubleLocker и сочетали ее с Accessibility service.


    Еще одна новая функция ransomware — использование модуля машинного обучения, что позволяет зловреду определять необходимые размеры окна сообщения, адаптируя его под размеры экрана и другие особенности устройства. Поскольку моделей планшетов и телефонов на Android великое множество, то для ransomware это крайне полезное «умение».

    Ниже показана схема работы разных видов зловредного ПО, включая представителей новейшего «семейства». Полноразмерное изображение откроется при клике.


    Эксперты по ИБ предполагают, что эволюция этой ветки ransomware далека от тупика — впереди грядет еще несколько поколений с новыми функциями и возможностями.

    Обход защиты и способы распространения


    Разработчики AndroidOS/MalLocker.B научили свое «детище» обходить как штатную систему безопасности Google, так и сторонние антивирусные решения. Сделано это путем маскировки некоторых функций и возможностей ransomware.

    Так, любое Android-приложение включает «manifest file», который содержит названия и детали всех программных компонентов. Разработчики зловредного ПО в обычной ситуации маскируют и скрывают некоторые важные компоненты. Создатели нового ransomware выбрали иной путь — они обфусцируют код, который не позволяет антивирусным приложениям обнаружить вредонос. Кроме того, файл скрывают в другой папке, так что ransomware может работать, но не показывать «истинности своих намерений».

    Новый вредонос вряд ли проникнет в Google Play Store, но в сторонние каталоги приложений оно сможет попасть без особых проблем. Сейчас ransomware распространяется разработчиками на форумах, обычных веб-сайтах, сторонних каталогах приложений для Android. Здесь ничего нового, тактика киберпреступников стандартная — замаскировать зловредный софт под популярное приложение, видеоигру, плеер или еще что-то подобное.

    Для предотвращения распространения зловреда Microsoft поделилась детальной информации о нем с Google — еще до того, как результаты изучения ransomware попали в паблик. Рекомендации, которые дают специалисты по ИБ пользователям, самые простые — загружать приложения из доверенных источников и не кликать по подозрительным ссылкам, включая те, что содержатся в сообщениях электронной почты.

    Selectel
    ИТ-инфраструктура для бизнеса

    Комментарии 10

      +6
      Еще одна новая функция ransomware — использование модуля машинного обучения, что позволяет зловреду определять необходимые размеры окна сообщения, адаптируя его под размеры экрана и другие особенности устройства. Поскольку моделей планшетов и телефонов на Android великое множество, то для ransomware это крайне полезное «умение».


      А при чем здесь какое-то машинное обучение, если система никак не скрывает размеры экрана?
        +2
        Как зачем? А как тогда статью написать с заголовком про обход антивирусного ПО?
        +3
        В заголовке: "… использует машинное обучение для обхода антивирусного ПО"!

        В тексте: "… использование модуля машинного обучения, что позволяет зловреду определять необходимые размеры окна сообщения, адаптируя его под размеры экрана и другие особенности устройства..".

        И это, замечу, единственные вхождения последовательности букв «маши» во всей статье. Ну, хоть не «искусственный интеллект».

        Мда… Такой желтизны тут ещё не было.
          +5
          Еще одна новая функция ransomware — использование модуля машинного обучения, что позволяет зловреду определять необходимые размеры окна сообщения, адаптируя его под размеры экрана и другие особенности устройства.

          Чё? Уже вёрстку HTML нельзя сделать без машинного обучения? И как оно помогает «Обходить антивирусное ПО», притом что оно на андроиде чуть менее чем бесполезно?
            0

            В рамках конспирологического бреда. А что если этот вирус разработан с целью запугивания обычных пользователей настолько, чтобы
            1) они сами решили не ставить разные магазины приложений на андройде
            2) они боялись магазина huawei (и прочих) как ненадежного ?

              0

              Тогда уж с целью сказать "мы же говорили!" а потом закрыть установку не из маркета.


              Но это просто теория заговора.

                0
                3) переходили на iOS
                +2
                Столько упоминаний «антивирусного ПО» для андроида, как будто это прям что-то очень серьёзное, важное и нужное и кто-то им по-настоящему зачем-то пользуется.

                Кстати, в 10 андроиде приложениям запрещено запускать активити из фона, так что этот приём с перезапуском из onUserLeaveHint там уже не прокатит. Да и, в конце концов, всегда можно перезагрузиться в безопасный режим (в AOSP долгое нажатие на «перезагрузить») и удалить приложение оттуда.
                  +1

                  Защита проста — не ставить ничего кроме как из маркета, с рейтингом не ниже 4х звёзд и с не менее чем сотней тысяч скачиваний. Вариант — таки ставить что хочется, но если разрешений к файлам и персональным данным, сети и локации не требует.


                  Правда, никто не помешает кому-то сделать очень качественное и нужное приложение, которое несколько лет будет радовать своих пользователей чем-то полезным (для чего требуется много всяких разрешений со вполне легитимным объсянением их необходимости), но в день X оно превратит телефон в тыкву. Сразу у всех миллионов скачавших его в своё время. Или ещё проще, где скиллов поменьше требуется — этот злобный кто-то просто банально похачит уже существующее приложение и пропихнёт его обновление через маркет (я вот совсем не уверен что после нашумевших историй с Garmin их приложениям можно доверять).

                    0
                    Защита проста — не ставить ничего кроме как из F-Droid

                    Исправил, не благодарите.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое