Les systèmes logiciels antivirus s'améliorent de plus en plus. Mais les développeurs de logiciels malveillants sont également occupés à créer des versions plus avancées de logiciels malveillants pour une grande variété de plates-formes et de systèmes d'exploitation.
Le plus souvent, l'attention des attaquants sur une plate-forme ou un système d'exploitation particulier est due à la popularité de ces systèmes. C'est simple - plus ils ont d'utilisateurs, plus les chances de réussite d'une attaque majeure sont grandes. L'une des cibles les plus attrayantes pour les développeurs de logiciels malveillants est Android. Microsoft a récemment publié les résultats d'une nouvelle génération de logiciels malveillants pour ce système d'exploitation.
Un logiciel malveillant pour Android? Ils existent depuis de nombreuses années, certains plus, d'autres moins.
En général, tout est vrai, mais le malware découvert par les experts en sécurité de l'information de Microsoft surprend par ses capacités. Nous parlons d' AndroidOS / MalLocker.B , l'une des variétés de ransomwares pour Android.
Sa dernière génération est capable de contourner presque tous les systèmes de protection offerts par le marché des logiciels antivirus.
Pour afficher le message, dont la capture d'écran est présentée ci-dessus, le logiciel malveillant a utilisé l' autorisation spéciale SYSTEM_ALERT_WINDOW . Il permet à l'application d'afficher une fenêtre avec un niveau de «tolérance» du système, de sorte que le logiciel antivirus ne puisse pas contrer.
Les développeurs Android, en utilisant SYSTEM_ALERT_WINDOW, ont implémenté l' affichage de messages sur les problèmes et les erreurs dans le système. Les développeurs de logiciels malveillants utilisent un message «système» pour afficher une demande d'envoi d'argent, tandis que toutes les autres fonctions de l'appareil sont bloquées. Très souvent, cela fonctionne et l'utilisateur inexpérimenté paie vraiment.
Les développeurs Android ont introduit plusieurs modifications dans les versions récentes du système d'exploitation pour éviter ce danger:
- Remplacement de SYSTEM_ALERT_WINDOW par d' autres types d'appels de fenêtre de message d'erreur / notification.
- Introduction d'une demande utilisateur pour l'autorisation d'utiliser SYSTEM_ALERT_WINDOW pour différentes applications, pas toutes ensemble.
- Ajout de la possibilité de désactiver la fenêtre SYSTEM_ALERT_WINDOW par l' utilisateur.
Les développeurs de logiciels malveillants ont tenté de s'adapter. Par exemple, le processus de dessin de fenêtres avec une demande de rançon a été introduit dans le cycle. Mais ce n'était pas une méthode particulièrement efficace, car l'utilisateur pouvait tout minimiser, accéder aux paramètres et supprimer l'application problématique.
Mais maintenant que tout a changé, les développeurs du logiciel malveillant se sont également avérés être "pas un bâtard".
Que fait exactement AndroidOS / MalLocker.B?
Le malware de nouvelle génération interagit avec la fonction de fenêtre d'appel. Fermer la fenêtre n'est pas facile car elle est hautement prioritaire. À l'intérieur de la fenêtre elle-même, le même texte est affiché avec l'obligation d'envoyer de l'argent dans le portefeuille des cybercriminels.
Pour ce faire, deux composants sont utilisés qui vous permettent de créer un type spécial de notification, qui active ensuite la fenêtre d'appel téléphonique.
Lorsqu'elle est activée surUserLeaveHint , une fonction qui est activée lorsque vous appuyez sur des boutons tels que Accueil ou Récents. Le logiciel malveillant l'utilise pour empêcher l'utilisateur de revenir à l'écran d'accueil, de minimiser la fenêtre de rançon ou de passer à une autre application. Cette tactique est nouvelle, car les ransomwares utilisaient DoubleLocker et les combinaient avec le service d'accessibilité.
Une autre nouvelle fonctionnalité du ransomware est l'utilisation d'un module d'apprentissage automatique, qui permet au logiciel malveillant de déterminer la taille requise de la boîte de message, en l'adaptant à la taille de l'écran et aux autres fonctionnalités de l'appareil. Comme il existe de nombreux modèles de tablettes et de téléphones Android, il s'agit d'une "compétence" extrêmement utile pour les ransomwares.
Vous trouverez ci-dessous un diagramme du fonctionnement de différents types de logiciels malveillants, y compris des représentants de la dernière «famille». L'image en taille réelle s'ouvrira au clic.
Les experts en sécurité suggèrent que l'évolution de cette branche des ransomwares est loin d'être sans issue - il y a encore plusieurs générations à venir avec de nouvelles fonctionnalités et capacités.
Bypass de protection et méthodes de distribution
Les développeurs d'AndroidOS / MalLocker.B ont appris à leur "idée" à contourner à la fois le système de sécurité standard de Google et les solutions antivirus tierces. Il le fait en masquant certaines des fonctionnalités et capacités du ransomware.
Ainsi, toute application Android comprend un «fichier manifeste» qui contient les noms et les détails de tous les composants logiciels. Les développeurs de logiciels malveillants masquent et cachent généralement certains composants importants. Les créateurs du nouveau ransomware ont choisi un chemin différent: ils masquent le code qui empêche les applications antivirus de détecter les logiciels malveillants. En outre, le fichier est caché dans un autre dossier, de sorte que le ransomware peut fonctionner, mais pas montrer «la vérité de ses intentions».
Il est peu probable que le nouveau logiciel malveillant pénètre dans le Google Play Store, mais il peut entrer dans des catalogues d'applications tiers sans trop de problèmes. Désormais, les ransomwares sont distribués par les développeurs sur des forums, des sites Web réguliers, des catalogues tiers d'applications Android. Il n'y a rien de nouveau ici, les tactiques des cybercriminels sont standard - pour déguiser le logiciel malveillant en une application populaire, un jeu vidéo, un lecteur ou autre chose du genre.
Pour empêcher la propagation du malware, Microsoft a partagé des informations détaillées à ce sujet avec Google - avant même que les résultats de l'étude sur les ransomwares ne soient rendus publics. Les recommandations données par les spécialistes de la sécurité de l'information aux utilisateurs sont les plus simples: téléchargez des applications à partir de sources fiables et ne cliquez pas sur des liens suspects, y compris ceux contenus dans les messages électroniques.
