Οι επιθέσεις ransomware πραγματοποιούνται εδώ και πολλά χρόνια και ειδικότερα τον τελευταίο καιρό στοχεύουν κυρίως νοσοκομεία, κυβερνητικά γραφεία ή υπηρεσίες, όπου η απρόσκοπτη λειτουργία τους είναι ζωτικής σημασίας. Ωστόσο μια ακόμα αναπτυσσόμενη πλατφόρμα για επιθέσεις ransomware αποτελούν και οι συσκευές Android. Σύμφωνα με μία έρευνα της Microsoft, οι κακόβουλοι παράγοντες επενδύουν όλο και περισσότερο χρόνο και πόρους για την εξέλιξη των ransomware εργαλείων τους για το Android.
Τα ευρήματα που εντοπίστηκαν χρησιμοποιώντας το Microsoft Defender σε κινητά, εξετάζουν μια παραλλαγή μίας γνωστής οικογένειας Android ransomware, στην οποία προστέθηκαν μερικά έξυπνα χαρακτηριστικά, συμπεριλαμβανομένου ενός νέου μηχανισμού παράδοσης τραπεζογραμματίων, βελτιωμένες τεχνικές για την αποφυγή εντοπισμού, ακόμη και ένα στοιχείο μηχανικής εκμάθησης που θα μπορούσε να χρησιμοποιηθεί για να τελειοποιήσει την επίθεση για συσκευές διαφορετικών θυμάτων.
Το ransomware που ανακαλύφθηκε από τη Microsoft, το οποίο ονομάστηκε AndroidOS / MalLocker.B, έχει διαφορετική στρατηγική από τα συνηθισμένα ransomware. Επικαλείται και χειρίζεται τις ειδοποιήσεις που προορίζονται για χρήση όταν λαμβάνεται μια τηλεφωνική κλήση. Ωστόσο, το ransomware παρακάμπτει την τυπική ροή μιας κλήσης που τελικά κατευθύνεται στον αυτόματο τηλεφωνητή ή απλά τερματίζεται, καθώς δεν υπάρχει πραγματική κλήση. Αντ ‘αυτού παραμορφώνει τις ειδοποιήσεις σε ένα σημείωμα για λύτρα, που ο χρήστης δεν μπορεί να διώξει από την οθόνη καθώς το σύστημα δίνει προτεραιότητα στη διαιώνισή του.
Οι ερευνητές ανακάλυψαν επίσης μια ενότητα μηχανικής εκμάθησης στα δείγματα του κακόβουλου λογισμικού που ανέλυσαν, που θα μπορούσαν να χρησιμοποιηθούν για τη μεγέθυνση ενός σημειώματος λύτρων, με βάση το μέγεθος της οθόνης της συσκευής του θύματος. Δεδομένης της ποικιλομορφίας των φορητών συσκευών Android που χρησιμοποιούνται σε όλο τον κόσμο, μια τέτοια δυνατότητα θα ήταν χρήσιμη ώστε οι επιτιθέμενοι να διασφαλίσουν ότι το σημείωμα των λύτρων θα εμφανίζεται καθαρά και ευανάγνωστα. Η Microsoft διαπίστωσε, ωστόσο, ότι αυτό το στοιχείο δεν ήταν πραγματικά ενεργοποιημένο στο ransomware και ενδέχεται να βρίσκεται υπό δοκιμή για μελλοντική χρήση.
Σε μια προσπάθεια να αποφύγει τον εντοπισμό από τα συστήματα ασφαλείας της Google ή από άλλους σαρωτές, οι ερευνητές της Microsoft διαπίστωσαν ότι το ransomware σχεδιάστηκε για να αποκρύπτει τις λειτουργίες και τους σκοπούς του. Κάθε εφαρμογή Android πρέπει να περιλαμβάνει ένα “αρχείο δήλωσης” που περιέχει ονόματα και λεπτομέρειες για τα στοιχεία του λογισμικού της. Οι παρεκκλίσεις σε ένα αρχείο δήλωσης αποτελούν συχνά ένδειξη κακόβουλου λογισμικού. Οι hackers κρυπτογράφησαν αυτόν τον κώδικα για να είναι ακόμη πιο δύσκολο να εκτιμηθεί και τον έκρυψαν σε διαφορετικό φάκελο, έτσι το ransomware θα μπορούσε ακόμα να τρέξει, αλλά δεν θα αποκάλυπτε αμέσως την κακόβουλη πρόθεσή του. Επίσης χρησιμοποιούν κι άλλες τεχνικές, όπως αυτό που η Microsoft ονομάζει “mangling name“, για εσφαλμένη σήμανση και απόκρυψη των στοιχείων του κακόβουλου λογισμικού.
Το να επιλέγετε να κάνετε λήψη εφαρμογών Android μόνο από αξιόπιστα καταστήματα εφαρμογών, όπως το Google Play Store είναι ο ευκολότερος τρόπος για να αποφύγετε τα ransomware για κινητά και να προστατευθείτε από κάθε είδους κακόβουλο λογισμικό.
