Clicky

Cuidado: Microsoft advierte a los usuarios de Android sobre un nuevo ransomware

nuevo ransomware Android

El nuevo MalLocker.B logra el mismo objetivo de bloquear el teléfono a través de una táctica completamente nueva

Microsoft ha advertido sobre una nueva cepa de ransomware móvil que aprovecha las notificaciones de llamadas entrantes y el botón de inicio de Android para bloquear el dispositivo detrás de una nota de rescate.

Los hallazgos se refieren a una variante de una conocida familia de ransomware de Android denominada "MalLocker.B" que ahora ha resurgido con nuevas técnicas, que incluyen un medio novedoso para cumplir la demanda de rescate en los dispositivos infectados, así como un mecanismo de ocultación para evadir las soluciones de seguridad.

El desarrollo se produce en medio de un gran aumento de los ataques de ransomware contra la infraestructura crítica en todos los sectores, con un aumento del 50% en el promedio diario de ataques de ransomware en los últimos tres meses en comparación con la primera mitad del año, y los ciberdelincuentes incorporan cada vez más la doble extorsión en sus libros de jugadas.

MalLocker es conocido por estar alojado en sitios web maliciosos y circular en foros en línea utilizando varios señuelos de ingeniería social haciéndose pasar por aplicaciones populares, juegos crackeados o reproductores de vídeo.

Las instancias anteriores de ransomware de Android han explotado las funciones de accesibilidad de Android o el permiso llamado "SYSTEM_ALERT_WINDOW" para mostrar una ventana persistente encima de todas las demás pantallas para mostrar la nota de rescate, que normalmente se hace pasar por avisos policiales falsos o alertas sobre supuestamente encontrar imágenes explícitas en el dispositivo.

Pero justo cuando el software anti-malware comenzó a detectar este comportamiento, la nueva variante de ransomware de Android ha desarrollado su estrategia para superar esta barrera. Lo que ha cambiado con MalLocker.B es el método mediante el cual logra el mismo objetivo a través de una táctica completamente nueva.

código del ransomware de Android

Para hacerlo, aprovecha la notificación de "llamada" que se usa para alertar al usuario sobre las llamadas entrantes con el fin de mostrar una ventana que cubre toda el área de la pantalla y, posteriormente, la combina con una pulsación de la tecla Inicio o Recientes para activar la nota de rescate. al primer plano y evitar que la víctima cambie a cualquier otra pantalla.

"Esto crea una cadena de eventos que activa la ventana emergente automática de la pantalla del ransomware sin hacer un redibujo infinito o hacerse pasar por una ventana del sistema", dijo Microsoft.

Además de desarrollar gradualmente una serie de técnicas antes mencionadas para mostrar la pantalla del ransomware, la compañía también notó la presencia de un modelo de aprendizaje automático aún por integrar que podría usarse para ajustar la imagen de la nota de rescate dentro de la pantalla sin distorsión insinuando la siguiente etapa de evolución del malware.

Además, en un intento de enmascarar su verdadero propósito, el código de ransomware está muy ofuscado y se vuelve ilegible a través de la manipulación de nombres y el uso deliberado de nombres de variables sin sentido y código basura para frustrar el análisis, dijo la compañía.

"Esta nueva variante de ransomware móvil es un descubrimiento importante porque el malware exhibe comportamientos que no se han visto antes y podría abrir puertas para que lo sigan otros malware", dijo el equipo de investigación de Microsoft 365 Defender.

"Refuerza la necesidad de una defensa integral impulsada por una amplia visibilidad de las superficies de ataque, así como de expertos en el dominio que rastrean el panorama de amenazas y descubren amenazas notables que podrían estar escondidas en medio de señales y datos de amenazas masivas".

Jesus_Caceres