Análisis de malware

MalLocker Android ransomware: qué es, cómo funciona y cómo prevenirlo | Destacado malware

noviembre 4, por Pedro Tavares

Introducción

El malware es una presencia persistente en nuestra vida. En los últimos meses, se identificaron varias piezas de diferentes familias de malware que afectaban a los dispositivos móviles. De hecho, éste es un nuevo panorama desde el punto de vista de los delincuentes. Muchos de esos delincuentes dirigen sus esfuerzos a la superficie del móvil, un objeto cotidiano que almacena información sensible del usuario.

En este contexto, Microsoft identificó un nuevo ransomware sofisticado para Android con técnicas novedosas: MalLocker. Esta es una de las últimas piezas de ransomware observadas en la naturaleza y está atacando los dispositivos de usuarios de Android en todo el mundo.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Cómo se distribuye MalLocker en la naturaleza

Como se observa en otros tipos de familias de malware para dispositivos móviles, los delincuentes comparten MalLocker en sitios web aleatorios y comprometidos. También está circulando en varios foros en línea, utilizando esquemas de ingeniería social para difundir la amenaza, incluso haciéndose pasar por aplicaciones populares, juegos crackeados y reproductores de video.

MalLocker no bloquea el acceso a los archivos ni los cifra después de instalarlos en el dispositivo de la víctima. En su lugar, muestra una pantalla superpuesta con la nota de rescate, utilizando técnicas nunca antes vistas que utilizan ciertas funciones de Android para congelar el dispositivo. Después de eso, se presenta una nota de rescate que contiene las instrucciones para pagar el rescate y automáticamente se cambia de tamaño y se recorta para que se ajuste sin distorsión (1).

1: ventana superpuesta de MalLocker con la nota de rescate y la cuenta regresiva

Capa de ofuscación de MalLocker

Para eludir el software de seguridad, el malware se ofusca. Una señal clara de esta actividad se observa en el archivo de manifiesto, debido a la ausencia de código que defina las clases de malware.

2: Archivo de manifiesto sospechoso sin código

En detalle, el archivo class.dex tiene dos clases en su interior que no están declaradas en el archivo de manifiesto, lo que confirma la actividad sospechosa. Al igual que otros malwares, almacena los archivos binarios maliciosos cifrados y ofuscados dentro de la carpeta Activos.

3 : Código ejecutable cifrado en la carpeta Activos

Después de la primera ejecución, el archivo class.dex se descifra y la carga útil se carga en la memoria, iniciando la cadena de infección.

4: Archivo de activos antes y después del descifrado

Según Microsoft, “ el malware guarda esta configuración en las preferencias compartidas de los datos de la aplicación y luego contodos los receptores de transmisión. Esta acción registra componentes de código para recibir notificaciones cuando ocurren ciertos eventos del sistema. Esto se hace en la función initComponents”.

5: Inicio de BroadcastReceiver frente a eventos del sistema

Profundizando en los detalles de MalLocker

En lugar de cifrar los archivos del sistema, el malware utiliza un mecanismo dual para mostrar su nota de rescate y bloquear la pantalla.

MalLocker ransomware aprovecha la función de notificación de llamadas disponible en dispositivos Android. El malware abusa de la notificación de llamada que se activa con las llamadas entrantes para mostrar detalles sobre la persona que llama y la utiliza para mostrar una ventana superpuesta que cubre toda el área de la pantalla con el mensaje de la nota de rescate.

6: La notificación con toda la intención y configurada como categoría de «llamada»

Por otro lado, el ransomware utiliza las funciones onUserLeaveHint() (resaltadas a continuación) cada vez que el usuario cambia una aplicación a segundo plano y aprovecha esta técnica para iniciar y dibujar una nueva ventana superpuesta, redimensionada y recortada automáticamente y presentando el rescate. nota (7).

7: El malware que anula la llamada UserLeaveHint

Con estas nuevas técnicas y tácticas implementadas, los delincuentes pueden aprovechar estas nuevas mejoras para atacar una nueva superficie en relación con el malware convencional.

Pensamientos finales

Se trata de un cambio en el panorama del malware móvil, donde se observaron nuevas técnicas exploradas en la naturaleza por los delincuentes. MalLocker es una nueva variante de ransomware diseñada para evadir protecciones, registrando una baja tasa de detección contra soluciones de seguridad.

Tenga en cuenta que el módulo de aprendizaje automático de MalLocker indica una evolución continua de esta familia de ransomware para Android, dijeron los investigadores .

» Este ransomware es la última variante de una familia de malware que ha pasado por varias etapas de evolución», dijeron los investigadores. “Esperamos que produzca nuevas variantes con técnicas aún más sofisticadas. De hecho, las variantes recientes contienen código bifurcado de un módulo de aprendizaje automático de código abierto utilizado por los desarrolladores para cambiar el tamaño y recortar imágenes automáticamente según el tamaño de la pantalla, una función valiosa dada la variedad de dispositivos Android .

«Esta nueva variante de ransomware móvil es un descubrimiento importante porque el malware muestra comportamientos que no se han visto antes y podría abrir puertas para que otro malware lo siga», añadió Microsoft .

En este contexto, las precauciones a tomar para evitar posibles contagios son las ya conocidas, entre ellas:

Fuentes

El nuevo y sofisticado malware para Android marca la última evolución del ransomware móvil , Microsoft