El nuevo y sofisticado malware de Android marca la última evolución del ransomware móvil

Una nueva variante de un sofisticado ransomware de Android conocido como MalLocker bloquea los dispositivos móviles y muestra su nota de rescate cuando un usuario presiona el botón Inicio.

Según una investigación de Microsoft, MalLocker se está propagando a través de descargas de sitios web maliciosos (disfrazados de aplicaciones populares, juegos crackeados o reproductores de video) y se vende en foros en línea, como siempre lo ha hecho. Sin embargo, «la nueva variante nos llamó la atención porque es un malware avanzado con características y comportamientos maliciosos inconfundibles y, sin embargo, logra evadir muchas protecciones disponibles, registrando una baja tasa de detección contra las soluciones de seguridad», dijeron los investigadores de Microsoft.

El ransomware de Android se diferencia de sus homólogos de escritorio al bloquear el acceso al dispositivo con pantallas superpuestas que contienen notas de rescate que impiden que los usuarios realicen ninguna acción; en realidad, no cifra nada. En el caso de MalLocker, la pantalla superpuesta aparece utilizando técnicas nunca antes vistas que hacen uso de ciertas funciones de Android.

Y tiene un módulo de aprendizaje automático de código abierto que se utiliza para ajustar automáticamente la pantalla superpuesta al dispositivo.

 Nuevos permisos

Los investigadores notaron que el ransomware típico de Android usa un permiso especial llamado «SYSTEM_ALERT_WINDOW». La nota está vinculada a ese permiso, de modo que cada vez que se abre una aplicación que tiene este permiso, se presenta la nota de rescate y no se puede descartar.

“No importa qué botón se presione, la ventana permanece encima de todas las demás ventanas”, dijeron los investigadores. “La notificación estaba destinada a ser utilizada para alertas o errores del sistema, pero las amenazas de Android la utilizaron indebidamente para obligar a la IU controlada por el atacante a ocupar completamente la pantalla, bloqueando el acceso al dispositivo. Los atacantes crean este escenario para persuadir a los usuarios de que paguen el rescate para que puedan recuperar el acceso al dispositivo «.

Sin embargo, MalLocker es diferente: utiliza la notificación de «llamada», entre varias categorías de notificaciones que admite Android, lo que requiere la atención inmediata del usuario. Combina esto con el método de devolución de llamada «onUserLeaveHint ()» de la Actividad de Android, que es una función fundamental de Android. Aparece la pantalla GUI típica que los usuarios de Android ven después de cerrar una aplicación o cuando el usuario presiona la tecla Inicio para enviar la actividad actual a un segundo plano.

«El malware conecta los puntos y utiliza estos dos componentes para crear un tipo especial de notificación que activa la pantalla de rescate a través de la devolución de llamada», según Microsoft. «El malware anula la función de devolución de llamada onUserLeaveHint () [y] activa la ventana emergente automática de la pantalla del ransomware sin … hacerse pasar por una ventana del sistema».

El análisis agregó: “El malware crea un generador de notificaciones [y genera] una notificación muy importante que necesita privilegios especiales. La API setFullScreenIntent ()… conecta la notificación a una GUI para que aparezca cuando el usuario la toca «.