MalLocker
MalLocker, genauer gesagt AndroidOS/MalLocker.B, ist die Bezeichnung, die Microsoft für die neueste Variante gibt, die aus einer Familie von Android-Ransomware-Bedrohungen hervorgegangen ist. Laut den Forschern ist diese spezielle Familie von Bedrohungen seit geraumer Zeit in freier Wildbahn aktiv und hat mehrere Entwicklungsstufen durchlaufen, was das Engagement der Hacker zeigt, ihre Malware-Tools weiterzuentwickeln.
Auf den ersten Blick scheint MalLocker eine typische Bedrohung durch ANdroind-Ransomware zu sein. Es sperrt den Bildschirm mit einem Fenster, in dem eine Nachricht der Hacker angezeigt wird, und verhindert, dass Benutzer auf den Rest des betroffenen Geräts zugreifen können. Der Text der Nachricht stellt eine typische Erpressungstaktik dar, bei der die Kriminellen empörende Behauptungen aufstellen, dass der Benutzer gegen das Gesetz verstößt, indem er illegales Material auf dem Gerät besitzt, und jetzt von der Polizei strafrechtlich verfolgt wird. Anhand der Tatsache, dass die Nachricht vollständig in russischer Sprache verfasst ist, könnte vermutet werden, dass MalLocker darauf ausgerichtet ist, überwiegend russischsprachige Benutzer zu infizieren.
Ein Blick auf den zugrunde liegenden Code der Bedrohung zeigt jedoch, dass es sich um die ausgefeilteste Iteration dieser Malware-Familie handelt. MalLocker verwendet einzigartige Exploit- und Verschleierungstechniken. Frühere Ransomware-Varianten wurden beobachtet, als sie eine bestimmte Berechtigung namens "SYSTEM_ALERT_WINDOW" missbrauchten, bevor sie zu anderen, möglicherweise weniger effektiven Taktiken übergingen, z. B. der Nutzung der Eingabehilfen von Android-Geräten. MalLocker ist jedoch zum nächsten Schritt in der Entwicklung von Android-Ransomware übergegangen. Es werden hauptsächlich zwei Dienste genutzt - die Benachrichtigung "Anruf", die über besondere Berechtigungen verfügt, da Details zum Anrufer angezeigt werden müssen, und die Rückruffunktion "onUserLeaveHint ()" der Android-Aktivität. Durch diese Funktion stellt die Malware sicher, dass der Bildschirm mit der Lösegeldmeldung immer oben bleibt, indem verhindert wird, dass der Benutzer ihn über die Schaltflächen "Startseite" oder "Letzte" in den Hintergrund rückt. Der Code von MalLocker wurde auch durch eine für die Android-Plattform einzigartige Technik verschleiert.
Aufgrund seines Designs ist MalLocker nicht in der Lage, die Sicherheitsmaßnahmen des Play Store zu durchdringen, wodurch die Kriminellen, die hinter der Bedrohung stehen, gezwungen werden, unterschiedliche Verteilungsvektoren zu verwenden, hauptsächlich durch Hosting auf Websites von Drittanbietern und durch Nachrichten in Online-Foren. Beide Methoden beinhalten verschiedene Social-Engineering-Taktiken, um die Benutzer zum Herunterladen der beschädigten Datei zu verleiten, die als geknacktes Spiel, Videoplayer oder beliebte Anwendung getarnt ist.
