MalLocker
MalLocker, plus précisément AndroidOS / MalLocker.B, est la désignation donnée par Microsoft à la dernière variante issue d'une famille de menaces de ransomwares Android. Selon les chercheurs, cette famille particulière de menaces est opérationnelle dans la nature depuis un certain temps et a subi plusieurs étapes d'évolution, montrant l'engagement des pirates à continuer de développer leurs outils malveillants.
À première vue, MalLocker peut sembler être une menace de ransomware ANdroind typique. Il verrouille l'écran avec une fenêtre affichant un message des pirates et empêche les utilisateurs d'accéder au reste de l'appareil affecté. Le texte du message représente une tactique d'extorsion typique, les criminels faisant des allégations scandaleuses selon lesquelles l'utilisateur enfreint la loi en détenant des matériaux illicites sur l'appareil et est maintenant poursuivi par la police. À en juger par le fait que le message est entièrement rédigé en russe, on pourrait supposer que MalLocker est destiné à infecter les utilisateurs principalement russophones.
Cependant, l'examen du code sous-jacent de la menace révèle qu'il s'agit de l'itération la plus sophistiquée de cette famille de logiciels malveillants. MalLocker utilise des techniques uniques d'exploitation et d'obfuscation. Des variantes de ransomwares précédentes ont été observées abusant d'une autorisation spécifique appelée "SYSTEM_ALERT_WINDOW'' avant de passer à d'autres tactiques sans doute moins efficaces, telles que l'exploitation des fonctionnalités d'accessibilité des appareils Android. MalLocker, cependant, est passé à l'étape suivante du développement du ransomware Android. Il tire principalement parti de deux services - la notification «appel» qui possède des privilèges spéciaux car elle doit afficher des détails sur l'appelant et la fonction de rappel «onUserLeaveHint ()» de l'activité Android. Grâce à cette fonction, le logiciel malveillant garantit que l'écran avec le message de rançon restera toujours au-dessus, en empêchant l'utilisateur de le pousser à l'arrière-plan via les boutons «Accueil» ou «Récents». Le code de MalLocker a également été obscurci grâce à une technique unique pour la plate-forme Android.
En raison de sa conception, MalLocker est incapable de pénétrer les mesures de sécurité du Play Store, obligeant les criminels derrière la menace à utiliser différents vecteurs de distribution, principalement en étant hébergé sur des sites tiers et via des messages sur des forums en ligne. Les deux méthodes impliquent diverses tactiques d'ingénierie sociale pour inciter les utilisateurs à télécharger le fichier corrompu déguisé en jeu craqué, en lecteur vidéo ou en application populaire.
