16 oct 2020

Microsoft alerta sobre un nuevo ransomware para Android


Buenas a todos,

En el post de hoy vamos a hablar un poco de malware, ya que hace unos días, el equipo de investigación de Microsoft 365 Defender descubrió un ransomware para el Sistema Operativo Android que ha llamado mucho mi atención.

Este nuevo malware parece que es capaz de lograr evadir muchas de las protecciones disponibles, con una tasa de detección muy baja. Aunque inicialmente parecía un nuevo malware, se ha descubierto que este ransomware es realmente una variante de la familia MalLocker. Sobre esta familia de ransomware, trataré de hablar en futuros post, sin embargo, creo que es interesante decir que es conocida por usar la ingeniería social al usar la apariencia de aplicaciones populares, juegos crackeados o reproductores de vídeo, lo que hace que se difunda con mucha facilidad.

Lo que es novedoso y llamó mi atención de esta variación respecto a sus antecesores es la forma en la que muestra al usuario el típico mensaje de rescate. Los antiguos ransomware de Android utilizaban el permiso “SYSTEM_ALERT_WINDOW” para mostrar el mensaje de rescate, fijándolo en una ventana que permanecía delante de cualquier otra pantalla, dejando el terminal inutilizado. En cambio, esta nueva versión hace uso de varios componentes de Android para generar su mensaje:

  • Notificacion.Builder: Clase para la construcción de notificaciones.
  • setCategory(“call”): Método que permite asignar una categoría a la notificación. En este caso como llamada entrante (voz o video).
  •  setFullScreenIntent(): Método que lanza un intento de iniciar la notificación en pantalla completa el lugar de publicarla en la barra de estado. Su uso se debería limitar a notificaciones con prioridad máxima como una llamada telefónica o una alarma.
  • onUserLeaveHint(): Método de la clase Activity que se llama cuando un objeto de dicha clase (una actividad) está a punto de pasar a segundo plano como resultado de la elección del usuario.
    • Una actividad en Android, es una tarea que puede hacer el usuario a través de una pantalla. De manera muy rápida y vaga, pero para que se entienda, cada actividad es una pantalla de la aplicación.

De esta manera, el ransomware primero crea una notificación nueva con la categoría para llamadas entrantes (“call”), conectándola con la futura actividad “ransomActivity” y con el método para el intento de pantalla completa. A continuación, podéis ver el extracto de código:

Creación de la Notificación

Actividad del ransomware

Después, crea una actividad para que se active cuando el usuario interactúe y sobrescriba la función onUserLeaveHint(), consiguiendo que cuando la pantalla vaya a pasar a segundo plano se lleve automáticamente a primer plano. Estas acciones en conjunto consiguen que se active una ventana emergente de forma automática que muestra las instrucciones de pago.

En el siguiente enlace, podéis leer la investigación al completo realizada por el equipo de Microsoft.

En el próximo post hablaremos sobre más detalles técnicos como su ofuscamiento y parte de su funcionamiento.

¡¡Saludos!!


No hay comentarios:

Publicar un comentario