MalLocker

MalLocker, más específicamente AndroidOS / MalLocker.B, es la designación otorgada por Microsoft a la última variante que se ha generado a partir de una familia de amenazas de ransomware de Android. Según los investigadores, esta familia particular de amenazas ha estado operativa en estado salvaje durante bastante tiempo y ha pasado por varias etapas de evolución, lo que demuestra el compromiso de los piratas informáticos de continuar desarrollando sus herramientas de malware.

A primera vista, MalLocker puede parecer una amenaza típica de ransomware ANdroind. Bloquea la pantalla con una ventana que muestra un mensaje de los piratas informáticos y evita que los usuarios accedan al resto del dispositivo afectado. El texto del mensaje representa una táctica de extorsión típica, con los delincuentes haciendo afirmaciones escandalosas sobre el usuario que infringe la ley al poseer materiales ilícitos en el dispositivo y ahora está siendo procesado por la policía. A juzgar por el hecho de que el mensaje está escrito completamente en ruso, se podría suponer que MalLocker está orientado a infectar a usuarios predominantemente de habla rusa.

Sin embargo, observar el código subyacente de la amenaza revela que es la iteración más sofisticada de esta familia de malware. MalLocker emplea técnicas únicas de explotación y ofuscación. Se observó que las variantes de ransomware anteriores abusaron de un permiso específico llamado 'SYSTEM_ALERT_WINDOW' antes de pasar a otras tácticas posiblemente menos efectivas, como explotar las funciones de accesibilidad de los dispositivos Android. MalLocker, sin embargo, ha pasado al siguiente paso en el desarrollo de ransomware de Android. Aprovecha principalmente dos servicios: la notificación de 'llamada' que posee privilegios especiales porque tiene que mostrar detalles sobre la persona que llama y la función de devolución de llamada 'onUserLeaveHint ()' de la Actividad de Android. A través de esta función, el malware asegura que la pantalla con el mensaje de rescate siempre permanecerá en la parte superior, evitando que el usuario la empuje a un segundo plano a través de los botones 'Inicio' o 'Recientes'. El código de MalLocker también se ha ofuscado mediante una técnica que es única para la plataforma Android.

Debido a su diseño, MalLocker es incapaz de penetrar las medidas de seguridad de Play Store, lo que obliga a los delincuentes detrás de la amenaza a utilizar diferentes vectores de distribución, principalmente al alojarse en sitios de terceros y a través de mensajes en foros en línea. Ambos métodos involucran varias tácticas de ingeniería social para atraer a los usuarios a descargar el archivo dañado disfrazado de un juego roto, un reproductor de video o una aplicación popular.