Antivirensoftwaresysteme werden immer besser. Malware-Entwickler sind jedoch auch damit beschäftigt, erweiterte Versionen von schädlicher Software für eine Vielzahl von Plattformen und Betriebssystemen zu erstellen.
In den meisten Fällen ist die Aufmerksamkeit von Cyberkriminellen auf eine bestimmte Plattform oder ein bestimmtes Betriebssystem auf die Beliebtheit dieser Systeme zurückzuführen. Es ist ganz einfach: Je mehr Benutzer sie haben, desto größer ist die Chance auf einen erfolgreichen Großangriff. Eines der attraktivsten Ziele für Malware-Entwickler ist Android. Microsoft hat kürzlich die Ergebnisse einer neuen Generation von Malware für dieses Betriebssystem veröffentlicht.
Malware für Android? Sie existieren seit vielen Jahren, einige mehr, andere weniger.
Im Allgemeinen stimmt alles, aber die von Informationssicherheitsexperten von Microsoft entdeckte Malware überrascht mit ihren Funktionen. Wir sprechen über AndroidOS / MalLocker.B , eine Art Ransomware für Android.
Die neueste Generation kann fast alle Schutzsysteme umgehen, die auf dem Markt für Antivirensoftware angeboten werden.
Um die Nachricht anzuzeigen, deren Screenshot oben gezeigt wird, verwendete die Malware die Sonderberechtigung SYSTEM_ALERT_WINDOW . Es ermöglicht der Anwendung, ein Fenster mit der Systemtoleranzstufe anzuzeigen, sodass die Antivirensoftware nicht in der Lage ist, dem entgegenzuwirken.
Android-Entwickler haben mithilfe von SYSTEM_ALERT_WINDOW die Anzeige von Meldungen zu Problemen und Fehlern im System implementiert. Entwickler von schädlicher Software verwenden eine "System" -Nachricht, um eine Aufforderung zum Senden von Geld anzuzeigen, während alle anderen Funktionen des Geräts blockiert sind. Sehr oft funktioniert es und der unerfahrene Benutzer zahlt wirklich.
Android-Entwickler haben in den letzten Betriebssystemversionen verschiedene Änderungen vorgenommen, um diese Gefahr zu vermeiden:
- Ersetzt SYSTEM_ALERT_WINDOW mit anderen Fehler / Meldung Meldungsfenster Anrufarten.
- Es wurde eine Benutzeranforderung für die Berechtigung zur Verwendung von SYSTEM_ALERT_WINDOW für verschiedene Anwendungen eingeführt, nicht für alle zusammen.
- Es wurde die Möglichkeit hinzugefügt, das Fenster SYSTEM_ALERT_WINDOW durch den Benutzer zu deaktivieren .
Böswillige Softwareentwickler versuchten sich anzupassen. Beispielsweise wurde der Prozess des Zeichnens von Fenstern mit Lösegeldforderung in den Zyklus eingeführt. Dies war jedoch keine besonders effektive Methode, da der Benutzer alles minimieren, zu den Einstellungen gehen und die problematische Anwendung löschen konnte.
Aber jetzt hat sich alles geändert, die Entwickler der schädlichen Software erwiesen sich auch als "kein Bastard".
Was genau macht AndroidOS / MalLocker.B?
Die Malware der nächsten Generation interagiert mit der Funktion des Anruffensters. Das Schließen des Fensters ist nicht einfach, da es eine hohe Priorität hat. Im Fenster selbst wird derselbe Text angezeigt, mit der Anforderung, Geld an die Brieftasche der Cyberkriminellen zu senden.
Dazu werden zwei Komponenten verwendet, mit denen Sie eine spezielle Art von Benachrichtigung erstellen können, die dann das Telefonanruffenster aktiviert.
Wenn dies auf UserLeaveHint aktiviert ist, wird diese Funktion aktiviert, wenn Sie Tasten wie Home oder Recents drücken. Die Malware verwendet sie, um zu verhindern, dass der Benutzer zum Startbildschirm zurückkehrt, das Lösegeldfenster minimiert oder zu einer anderen Anwendung wechselt. Diese Taktik ist neu, wie Ransomware verwendet verwenden DoubleLocker und mit dem Zugänglichkeit Service.
Eine weitere neue Ransomware-Funktion ist die Verwendung eines maschinellen Lernmoduls, mit dem die Malware die erforderliche Größe des Meldungsfelds ermitteln und an die Bildschirmgröße und andere Funktionen des Geräts anpassen kann. Da es so viele Modelle von Android-Tablets und -Telefonen gibt, ist dies eine äußerst nützliche "Fähigkeit" für Ransomware.
Unten sehen Sie ein Diagramm, wie verschiedene Arten von Malware funktionieren, einschließlich Vertreter der neuesten "Familie". Das Bild in voller Größe wird beim Klicken geöffnet.
Sicherheitsexperten gehen davon aus, dass die Entwicklung dieses Ransomware-Zweigs weit von einer Sackgasse entfernt ist - es stehen noch mehrere Generationen mit neuen Funktionen und Fähigkeiten bevor.
Schutzumgehung und Verteilungsmethoden
Die Entwickler von AndroidOS / MalLocker.B haben ihrer "Idee" beigebracht, sowohl das reguläre Google-Sicherheitssystem als auch Antivirenlösungen von Drittanbietern zu umgehen. Dazu werden einige Funktionen und Fähigkeiten der Ransomware maskiert.
Daher enthält jede Android-Anwendung eine "Manifestdatei", die die Namen und Details aller Softwarekomponenten enthält. Malware-Entwickler maskieren und verbergen normalerweise einige wichtige Komponenten. Die Entwickler der neuen Ransomware haben einen anderen Pfad gewählt - sie verschleiern den Code, der verhindert, dass Antiviren-Anwendungen Malware erkennen. Darüber hinaus ist die Datei in einem anderen Ordner versteckt, damit Ransomware funktionieren kann, aber nicht "die Wahrheit ihrer Absichten" anzeigt.
Es ist unwahrscheinlich, dass die neue Malware in den Google Play Store gelangt, sie kann jedoch ohne allzu viele Probleme in App-Kataloge von Drittanbietern gelangen. Jetzt wird Ransomware von Entwicklern in Foren, auf regulären Websites und in Katalogen von Android-Anwendungen von Drittanbietern vertrieben. Hier gibt es nichts Neues, die Taktik von Cyberkriminellen ist Standard - bösartige Software als beliebte Anwendung, Videospiel, Player oder ähnliches zu tarnen.
Um die Verbreitung der Malware zu verhindern, hat Microsoft Google detaillierte Informationen darüber mitgeteilt - noch bevor die Ergebnisse der Ransomware-Studie veröffentlicht wurden. Die Empfehlungen von Experten für Informationssicherheit an Benutzer sind die einfachsten: Laden Sie Anwendungen aus vertrauenswürdigen Quellen herunter und klicken Sie nicht auf verdächtige Links, einschließlich der in E-Mail-Nachrichten enthaltenen.
