Une nouvelle souche de ransomware Android fait actuellement le tour du Web. Appelé MalLocker.B, le ransomware est une menace connue qui est réapparue avec de nouvelles techniques. Certains d'entre eux incluent une nouvelle façon d'afficher la note de rançon et une technique d'obfuscation qui échappe aux outils de sécurité.
D'après l'analyse de Microsoft de la variante, il est "un malware avancé avec des caractéristiques et un comportement malveillants indéniables.«La menace réussit également à contourner les protections de sécurité mobile, conservant ainsi un faible taux de détection.
Détails techniques de MalLocker.B Android Ransomware
Comme avec la plupart des ransomwares mobiles, la nouvelle variante ne crypte pas les fichiers sur l'appareil Android compromis. Il bloque également l'accès à l'appareil en affichant un écran de rançon qui couvre toutes les autres fenêtres. De cette façon,, l'utilisateur ne peut effectuer aucune autre action avec son appareil. L'écran de rançon contient des instructions sur la façon de payer la rançon.
L'une des nouveautés de cette variante comprend la façon dont le ransomware affiche la note de rançon. MalLocker.B abuse de la notification d'appel, ainsi que d'autres catégories de notifications prises en charge par Android. Tous nécessitent une interaction immédiate de l'utilisateur. Une autre fonctionnalité exploitée par le ransomware est le «onUserLeaveHint()”Méthode de rappel de l'activité Android. La fonctionnalité est appelée dans le cadre du cycle de vie de l'activité lorsque l'activité est sur le point de passer en arrière-plan suite au choix de l'utilisateur, Les chercheurs de Microsoft expliquent.
MalLocker.B tire parti de ces deux composants pour créer un type spécial de notification. La notification déclenche l'écran de rançon via le rappel.
Les chercheurs en sécurité s'attendent à un développement ultérieur de MalLocker
La famille de ransomwares MalLocker Android a évolué, adopter diverses techniques. Sa dernière variante montre seulement que ses auteurs sont de plus. Les chercheurs de Microsoft pensent que de nouvelles variantes vont bientôt apparaître, avec un comportement encore plus sophistiqué.
"En fait, les variantes récentes contiennent du code dérivé d'un module d'apprentissage automatique open source utilisé par les développeurs pour redimensionner et recadrer automatiquement les images en fonction de la taille de l'écran, une fonction précieuse compte tenu de la variété des appareils Android," les experts expliquent dans leur rapport. En conclusion, la découverte de MalLocker.B est essentielle, car il présente un comportement auparavant invisible et peut ouvrir la porte à d'autres logiciels malveillants.