Une version sophistiquée du ransomware "kidnappe" vos données sur les téléphones Android

Une version sophistiquée du ransomware "kidnappe" vos données sur les téléphones Android

Semblable à l'idée de payer une rançon à un kidnappeur afin de ramener la personne kidnappée vivante, le ransomware est un type de malware qui entraîne un mauvais acteur exigeant un paiement ou bien la victime verra ses données personnelles publiées pour tous pour voir. Une autre menace exige un paiement ou bien la victime sera empêchée d'accéder aux données sur son appareil mobile. Quoi qu'il en soit, c'est de l'extorsion numérique.

Le ransomware évolue sur les appareils mobiles

Jeudi dernier, 8 octobre, l'équipe de recherche 365 Defender de Microsoft a rédigé un rapport sur la dernière évolution du mobile Ransomware. Le rapport indique que l'équipe de recherche "a trouvé un élément d'un ransomware Android particulièrement sophistiqué avec des techniques et un comportement novateurs, illustrant l'évolution rapide des menaces mobiles que nous avons également observées sur d'autres plates-formes. Le ransomware mobile, détecté par Microsoft Defender pour Endpoint comme AndroidOS /MalLocker.B, est la dernière variante d'une famille de ransomwares qui est dans la nature depuis un certain temps mais qui évolue sans arrêt. Cette famille de ransomwares est connue pour être hébergée sur des sites Web arbitraires et diffusée sur des forums en ligne à l'aide de divers leurres d'ingénierie sociale. , y compris le fait de se faire passer pour des applications populaires, des jeux piratés ou des lecteurs vidéo. La nouvelle variante a attiré notre attention car il s'agit d'un logiciel malveillant avancé avec des caractéristiques et un comportement malveillants indéniables et qui parvient pourtant à échapper à de nombreuses protections disponibles, enregistrant un faible taux de détection des solutions de sécurité. "

Pour diffuser la rançon, les instructions sont placées sur une note qui bloque l'accès à un écran. Les anciennes versions de ransomware reposaient sur une autorisation appelée "SYSTEM_ALERT_WINDOW" qui dessine une fenêtre qui ne peut pas être ignorée. Conçu à l'origine pour les alertes ou les erreurs système, les mauvais acteurs détournent l'autorisation forçant l'interface utilisateur contrôlée par le pirate à couvrir tout l'écran. Les utilisateurs sont ainsi empêchés d'accéder à leur appareil les obligeant à payer la rançon. Google a riposté en supprimant l'erreur SYSTEM_ALERT_WINDOW et la fenêtre d'alerte. Il a également élevé le statut d'autorisation de SYSTEM_ALERT_WINDOW à autorisation spéciale en le plaçant dans la catégorie «ci-dessus dangereux». Cela signifie qu'au lieu de faire un seul clic, les utilisateurs doivent passer par de nombreux écrans pour approuver les applications qui demandent une autorisation.

Les pirates ont "fait évoluer" le malware en utilisant des fonctionnalités d'accessibilité, mais celles-ci sont facilement détectables. Désormais, ces applications ont continué d'évoluer en utilisant la notification «Appel» (qui nécessite une attention immédiate des utilisateurs), et la méthode de rappel sur Android. La combinaison de ces deux composants déclenche la note de rançon. Et l'équipe de recherche Microsoft 365 Defender affirme que l'évolution est loin d'être terminée. Le rapport indique: «En fait, les variantes récentes contiennent du code dérivé d'un module d'apprentissage automatique open source utilisé par les développeurs pour redimensionner et recadrer automatiquement les images en fonction de la taille de l'écran, une fonction précieuse étant donné la variété des appareils Android.

Le modèle TinyML figé est utile pour s'assurer que les images s'adaptent à l'écran sans distorsion. Dans le cas de ce ransomware, l'utilisation du modèle garantirait que sa note de rançon – généralement un faux avis de police ou des images explicites prétendument trouvées sur l'appareil – apparaîtrait moins artificielle et plus crédible, augmentant les chances de l'utilisateur de payer la rançon. " Un autre aspect important de la variante du ransomware mobile est qu'elle pourrait donner des indices sur ce à quoi s'attendre des futures attaques de logiciels malveillants. "

Tanmay Ganacharya, qui dirige l'équipe de recherche Microsoft Defender, déclare: «Il est important que tous les utilisateurs sachent que les ransomwares sont partout, et pas seulement pour vos ordinateurs portables, mais pour tout appareil que vous utilisez et vous connectez à Internet. effort que les attaquants déploient pour compromettre l'appareil d'un utilisateur – leur intention est d'en tirer profit. Ils vont là où ils pensent pouvoir gagner le plus d'argent. " Et s'il s'agit de votre téléphone, vous feriez mieux de faire attention à ce que vos données ne soient pas détenues contre une rançon.

Articles récents