El nuevo y sofisticado malware de Android marca la última evolución del ransomware móvil

Las capacidades de defensa contra amenazas móviles de Microsoft enriquecen aún más la visibilidad que las organizaciones tienen sobre las amenazas en sus redes, además de proporcionar más herramientas para detectar y responder a amenazas en todos los dominios y plataformas. Como todas las soluciones de seguridad de Microsoft, estas nuevas capacidades están igualmente respaldadas por una red global de investigadores de amenazas y expertos en seguridad cuyo profundo conocimiento del panorama de amenazas guía la innovación continua de las características de seguridad y asegura que los clientes estén protegidos de amenazas en constante evolución.

Por ejemplo, encontramos una pieza de un ransomware de Android particularmente sofisticado con técnicas y comportamiento novedosos, que ejemplifica la rápida evolución de las amenazas móviles que también hemos observado en otras plataformas. El ransomware móvil, detectado por Microsoft Defender para Endpoint como AndroidOS / MalLocker.B, es la última variante de una familia de ransomware que ha estado en estado salvaje durante un tiempo, pero que ha evolucionado sin parar. Esta familia de ransomware es conocida por estar alojada en sitios web arbitrarios y circular en foros en línea utilizando varios señuelos de ingeniería social, que incluyen hacerse pasar por aplicaciones populares, juegos crackeados o reproductores de video. La nueva variante nos llamó la atención porque es un malware avanzado con características y comportamientos maliciosos inconfundibles y, sin embargo, logra evadir muchas protecciones disponibles.

Como ocurre con la mayoría de ransomware de Android, esta nueva amenaza en realidad no bloquea el acceso a los archivos cifrándolos. En su lugar, bloquea el acceso a los dispositivos al mostrar una pantalla que aparece sobre todas las demás ventanas, de modo que el usuario no puede hacer nada más. Dicha pantalla es la nota de rescate, que contiene amenazas e instrucciones para pagar el rescate.

Figura 1. Ejemplo de nota de rescate utilizada por variantes de ransomware más antiguas

Lo innovador de este ransomware es cómo muestra su nota de rescate. En este blog, detallaremos las formas innovadoras en las que este ransomware muestra su nota de rescate utilizando funciones de Android que no hemos visto aprovechadas por malware antes, además de incorporar un módulo de aprendizaje automático de código abierto diseñado para el recorte contextual de su nota de rescate.

Nuevo esquema, mismo objetivo

En el pasado, el ransomware de Android usaba un permiso especial llamado “SYSTEM_ALERT_WINDOW” para mostrar su nota de rescate. Las aplicaciones que tienen este permiso pueden dibujar una ventana que pertenece al grupo del sistema y no se puede descartar. No importa qué botón se presione, la ventana permanece encima de todas las demás ventanas. La notificación estaba destinada a ser utilizada para alertas o errores del sistema, pero las amenazas de Android la utilizaron incorrectamente para obligar a la interfaz de usuario controlada por el atacante a ocupar completamente la pantalla, bloqueando el acceso al dispositivo. Los atacantes crean este escenario para persuadir a los usuarios de que paguen el rescate para que puedan recuperar el acceso al dispositivo.

Para detectar estas amenazas, las soluciones de seguridad utilizaron heurísticas que se enfocaron en detectar este comportamiento. Más tarde, Google implementó cambios a nivel de plataforma que prácticamente eliminaron esta superficie de ataque. Estos cambios incluyen:

  1. Eliminando el error SYSTEM_ALERT_WINDOW y los tipos de ventana de alerta, e introduciendo algunos otros tipos como reemplazo
  2. Elevar el estado de permiso de SYSTEM_ALERT_WINDOW a un permiso especial colocándolo en la categoría “arriba peligroso”, lo que significa que los usuarios tienen que pasar por muchas pantallas para aprobar aplicaciones que piden permiso, en lugar de solo un clic
  3. Presentamos un interruptor de apagado superpuesto en Android 8.0 y versiones posteriores que los usuarios pueden activar en cualquier momento para desactivar una ventana de alerta del sistema

Para adaptarse, el malware de Android evolucionó para hacer un mal uso de otras funciones, pero estas no son tan efectivas. Por ejemplo, algunas variedades de ransomware abusan de las funciones de accesibilidad, un método que fácilmente podría alarmar a los usuarios porque la accesibilidad es un permiso especial que requiere que los usuarios pasen por varias pantallas y acepten una advertencia de que la aplicación podrá monitorear la actividad a través de los servicios de accesibilidad. Otras familias de ransomware usan ciclos infinitos de dibujar ventanas que no son del sistema, pero entre dibujar y volver a dibujar, es posible que los usuarios accedan a la configuración y desinstalen la aplicación ofensiva.

La nueva variante de ransomware de Android supera estas barreras al evolucionar más que cualquier malware de Android que hayamos visto antes. Para sacar a la luz su nota de rescate, utiliza una serie de técnicas que aprovechan los siguientes componentes en Android:

  1. La notificación de “llamada”, entre varias categorías de notificaciones que admite Android, que requiere la atención inmediata del usuario.
  2. El método de devolución de llamada “onUserLeaveHint ()” de la actividad de Android (es decir, la pantalla GUI típica que ve el usuario) se llama como parte del ciclo de vida de la actividad cuando la actividad está a punto de pasar a segundo plano como resultado de la elección del usuario, por ejemplo , cuando el usuario presiona la tecla Inicio.

El malware conecta los puntos y usa estos dos componentes para crear un tipo especial de notificación que activa la pantalla de rescate a través de la devolución de llamada.

Figura 2. La notificación con plena intención y configurada como categoría de “llamada”

Como muestra el fragmento de código, el malware crea un generador de notificaciones y luego hace lo siguiente:

  1. setCategory (“llamada”): esto significa que la notificación se crea como una notificación muy importante que necesita un privilegio especial.
  2. setFullScreenIntent (): esta API conecta la notificación a una GUI para que aparezca cuando el usuario la toca. En esta etapa, la mitad del trabajo está hecho para el malware. Sin embargo, el malware no querría depender de la interacción del usuario para activar la pantalla del ransomware, por lo que agrega otra funcionalidad de devolución de llamada de Android:
Figura 3. El malware que anula onUserLeaveHint

Como muestra el fragmento de código, el malware anula la función de devolución de llamada onUserLeaveHint () de la clase Activity. La función onUserLeaveHint () se llama cada vez que la pantalla de malware se coloca en segundo plano, lo que hace que la actividad en la llamada se lleve automáticamente al primer plano. Recuerde que el malware enganchó la intención de RansomActivity con la notificación que se creó como una notificación de tipo “llamada”. Esto crea una cadena de eventos que desencadena la ventana emergente automática de la pantalla del ransomware sin hacer un redibujo infinito o hacerse pasar por una ventana del sistema.

El módulo de aprendizaje automático indica una evolución continua

Como se mencionó, este ransomware es la última variante de una familia de malware que ha pasado por varias etapas de evolución. El gráfico de conocimiento a continuación muestra las diversas técnicas que esta familia de ransomware ha utilizado, incluido el abuso de la ventana de alerta del sistema, el abuso de las funciones de accesibilidad y, más recientemente, el abuso de los servicios de notificación.

Gráfico de conocimiento que muestra las técnicas utilizadas por la familia de rasomware de Android
Figura 4. Gráfico de conocimiento de las técnicas utilizadas por la familia de ransomware

La larga historia de esta familia de ransomware nos dice que su evolución está lejos de terminar. Esperamos que produzca nuevas variantes con técnicas aún más sofisticadas. De hecho, las variantes recientes contienen código bifurcado de un módulo de aprendizaje automático de código abierto utilizado por los desarrolladores para cambiar el tamaño y recortar imágenes automáticamente según el tamaño de la pantalla, una función valiosa dada la variedad de dispositivos Android.

El modelo TinyML congelado es útil para asegurarse de que las imágenes se ajusten a la pantalla sin distorsión. En el caso de este ransomware, el uso del modelo garantizaría que su nota de rescate, por lo general un aviso policial falso o imágenes explícitas supuestamente encontradas en el dispositivo , parecería menos artificial y más creíble, lo que aumentaría las posibilidades de que el usuario pague por el rescate.

La biblioteca que usa tinyML aún no está conectada a las funcionalidades del malware, pero su presencia en el código del malware indica la intención de hacerlo en futuras variantes. Continuaremos monitoreando esta familia de ransomware para asegurarnos de que los clientes estén protegidos y para compartir nuestros hallazgos y conocimientos con la comunidad para una protección amplia contra estas amenazas móviles en evolución.

Proteger a las organizaciones de amenazas en dominios y plataformas

Las amenazas móviles continúan evolucionando rápidamente, y los atacantes intentan continuamente eludir las barreras tecnológicas y encontrar formas creativas de lograr su objetivo, ya sea para obtener ganancias financieras o encontrar un punto de entrada para un compromiso de red más amplio.

Esta nueva variante de ransomware móvil es un descubrimiento importante porque el malware exhibe comportamientos que no se han visto antes y podría abrir puertas para que lo sigan otros malware. Refuerza la necesidad de una defensa integral impulsada por una amplia visibilidad de las superficies de ataque, así como de expertos en el dominio que rastrean el panorama de amenazas y descubren amenazas notables que podrían estar escondidas en medio de señales y datos de amenazas masivas.

Extracto de El nuevo y sofisticado malware de Android marca la última evolución del ransomware móvil

Dinesh Venkatesan

Investigación de Microsoft Defender

Abrir chat
1
Hola! Necesitas apoyo?
Hola!

Necesitas Ayuda?

No dudes en escribirme. Estoy aquí para apoyarte!