Il ransomware Android ha raccolto alcuni nuovi inquietanti trucchi

0
5

Sebbene il ransomware sia in circolazione da anni, rappresenta una minaccia sempre crescente per gli ospedali, i governi municipali e praticamente qualsiasi istituzione che non può tollerare i tempi di inattività. Ma insieme ai vari tipi di malware per PC che vengono tipicamente utilizzati in questi attacchi, c'è anche un'altra piattaforma fiorente per il ransomware: i telefoni Android. E una nuova ricerca di Microsoft mostra che gli hacker criminali stanno investendo tempo e risorse nel perfezionare i loro strumenti di ransomware mobile, segno che i loro attacchi stanno generando guadagni.

Rilasciati giovedì, i risultati, rilevati utilizzando Microsoft Defender su dispositivi mobili, esaminano una variante di una nota famiglia di ransomware Android che ha aggiunto alcuni trucchi intelligenti. Ciò include un nuovo meccanismo di consegna della richiesta di riscatto, tecniche migliorate per evitare il rilevamento e persino un componente di apprendimento automatico che potrebbe essere utilizzato per mettere a punto l'attacco per i diversi dispositivi delle vittime. Sebbene il ransomware mobile sia in circolazione almeno dal 2014 e non sia ancora una minaccia onnipresente, potrebbe essere pronto a fare un salto più grande.

"È importante che tutti gli utenti sappiano che il ransomware è ovunque e non è solo per i tuoi laptop, ma per qualsiasi dispositivo che usi e ti connetti a Internet", afferma Tanmay Ganacharya, che guida il team di ricerca di Microsoft Defender. "Lo sforzo che gli aggressori fanno per compromettere il dispositivo di un utente, il loro intento è trarne profitto. Vanno ovunque credono di poter guadagnare di più".

Annuncio pubblicitario

Il ransomware mobile può crittografare i file su un dispositivo come fa il ransomware per PC, ma spesso utilizza un metodo diverso. Molti attacchi comportano semplicemente l'intonacatura dell'intero schermo con una nota ransomware che ti impedisce di fare qualsiasi altra cosa sul telefono, anche dopo averlo riavviato. Gli aggressori hanno in genere abusato di un'autorizzazione Android denominata "SYSTEM_ALERT_WINDOW" per creare una finestra di sovrapposizione che non è possibile ignorare o eludere. Gli scanner di sicurezza hanno iniziato a rilevare e contrassegnare le app che potrebbero produrre questo comportamento, tuttavia, e Google ha aggiunto protezioni contro di esso l'anno scorso in Android 10. In alternativa al vecchio approccio, il ransomware Android può ancora abusare delle funzionalità di accessibilità o utilizzare tecniche di mappatura per disegnare e ridisegna le finestre di sovrapposizione.

Il ransomware osservato da Microsoft, che chiama AndroidOS/MalLocker.B, ha una strategia diversa. Richiama e manipola le notifiche destinate all'uso quando ricevi una telefonata. Ma lo schema sovrascrive il flusso tipico di una chiamata che alla fine va alla segreteria telefonica o semplicemente termina, poiché non esiste una chiamata effettiva, e distorce invece le notifiche in una sovrapposizione di una richiesta di riscatto che non puoi evitare e che il sistema dà la priorità in perpetuo.

I ricercatori hanno anche scoperto un modulo di apprendimento automatico nei campioni di malware che hanno analizzato che potrebbe essere utilizzato per ridimensionare e ingrandire automaticamente una richiesta di riscatto in base alle dimensioni del display del dispositivo di una vittima. Data la diversità dei telefoni Android in uso in tutto il mondo, una tale funzione sarebbe utile agli aggressori per garantire che la richiesta di riscatto venga visualizzata in modo pulito e leggibile. Microsoft ha scoperto, tuttavia, che questo componente ML non è stato effettivamente attivato all'interno del ransomware e potrebbe essere ancora in fase di test per un uso futuro.

Annuncio pubblicitario

"Nome storpiato"

Nel tentativo di eludere il rilevamento da parte dei sistemi di sicurezza di Google o di altri scanner mobili, i ricercatori di Microsoft hanno scoperto che il ransomware è stato progettato per mascherarne le funzioni e lo scopo. Ogni app Android deve includere un "file manifest", che contiene nomi e dettagli dei suoi componenti software, come il manifesto di una nave che elenca tutti i passeggeri, l'equipaggio e il carico. Ma le aberrazioni in un file manifest sono spesso un indicatore di malware e gli sviluppatori di ransomware sono riusciti a tralasciare il codice per numerose parti del loro. Invece, hanno crittografato quel codice per renderlo ancora più difficile da valutare e lo hanno nascosto in una cartella diversa, in modo che il ransomware potesse ancora essere eseguito ma non rivelasse immediatamente il suo intento dannoso. Gli hacker hanno utilizzato anche altre tecniche, inclusa quella che Microsoft chiama "name mangling", per etichettare erroneamente e nascondere i componenti del malware.

"Questa particolare famiglia di minacce esiste da un po' e ha utilizzato molte tecniche per compromettere l'utente, ma quello che abbiamo visto qui è che non stava facendo ciò che ci aspettavamo o ciò che faceva in passato", afferma Ganacharya di Microsoft Defender .

Microsoft afferma che il ransomware viene distribuito principalmente dagli aggressori nei forum online e attraverso pagine Web casuali piuttosto che canali ufficiali. In genere commercializzano il malware facendolo sembrare altre app, lettori video o giochi popolari per invogliare i download. E sebbene ci siano stati alcuni primi esempi di ransomware iOS, questo è ancora molto meno comune, simile a come il ransomware Mac è ancora relativamente raro. Microsoft ha condiviso la ricerca con Google prima della pubblicazione e Google ha sottolineato a WIRED che il ransomware non è stato trovato nel suo Play Store.

Assicurati di scaricare app Android solo da app store affidabili come Google Play è il modo più semplice per evitare il ransomware mobile e proteggerti anche da ogni tipo di altro malware. Ma dato il successo del ransomware per PC rivolto sia alle grandi aziende che ai privati, il ransomware mobile potrebbe essere appena iniziato.

Questa storia è apparsa originariamente su wired.com.