Android: Un rançongiciel s’exécute avec le bouton d’accueil

Une nouvelle variante d’un rançongiciel Android sophistiqué connu sous le nom de MalLocker verrouille les appareils mobiles, faisant apparaître sa note de rançon lorsqu’un utilisateur appuie sur le bouton d’accueil.

Selon une étude de Microsoft, MalLocker se propage via des téléchargements sur des sites Web malveillants (déguisés en applications populaires, jeux piratés ou lecteurs vidéo) et colporté dans des forums en ligne, ce qui est plutôt commun. Cependant, “la nouvelle variante a attiré notre attention car il s’agit d’un logiciel malveillant avancé avec des caractéristiques et un comportement malveillants indéniables et parvient pourtant à échapper à de nombreuses protections disponibles, enregistrant un faible taux de détection contre les solutions de sécurité”, ont déclaré des chercheurs de Microsoft dans un article.

android

Ce rançongiciel d’Android diffère de ses homologues de bureau en bloquant l’accès à l’appareil avec des écrans de superposition contenant des notes de rançon qui empêchent les utilisateurs de prendre des mesures, il ne chiffre rien en fait. Dans le cas de MalLocker, l’écran de superposition est affiché à l’aide de techniques inédites qui utilisent certaines fonctionnalités d’Android.

Et il dispose d’un module d’apprentissage automatique open source utilisé pour adapter automatiquement l’écran de superposition à l’appareil.

Nouvelles permissions Android

Les chercheurs ont noté que les rançongiciels Android classiques utilisent une autorisation spéciale appelée «SYSTEM_ALERT_WINDOW». La note est liée à cette autorisation, de sorte que chaque fois qu’une application est ouverte avec cette autorisation, la note de rançon est présentée et ne peut pas être rejetée.

«Peu importe le bouton enfoncé, la fenêtre reste au-dessus de toutes les autres fenêtres», ont déclaré les chercheurs. «La notification était destinée à être utilisée pour des alertes ou des erreurs système, mais les menaces Android l’ont utilisée à mauvais escient pour forcer l’interface utilisateur contrôlée par l’attaquant à occuper entièrement l’écran, bloquant ainsi l’accès à l’appareil. Les attaquants créent ce scénario pour persuader les utilisateurs de payer la rançon afin qu’ils puissent accéder à nouveau à l’appareil. »

google play

MalLocker est différent cependant: il utilise la notification «d’appel», parmi plusieurs catégories de notifications prises en charge par Android, ce qui nécessite une attention immédiate de l’utilisateur. Il combine cela avec la méthode de rappel «onUserLeaveHint()» de l’activité Android, qui est une fonction Android fondamentale. Il affiche l’interface graphique typique que les utilisateurs d’Android voient après la fermeture d’une application ou lorsque l’utilisateur appuie sur le bouton d’accueil pour envoyer l’activité actuelle en arrière-plan.

«Le malware fait les liens nécessaires et utilise ces deux composants pour créer un type spécial de notification qui déclenche l’écran de rançon via le rappel», selon Microsoft. «Le malware remplace la fonction de rappel onUserLeaveHint() [et] déclenche la fenêtre contextuelle automatique de l’écran du rançongiciel sans… se faire passer pour une fenêtre système.»

L’analyse a ajouté: «Le logiciel malveillant crée un générateur de notification [et construit] une notification très importante qui nécessite un privilège spécial. L’API setFullScreenIntent()… connecte la notification à une interface graphique afin qu’elle s’affiche lorsque l’utilisateur appuie dessus. »

Machine Learning

Le module d’apprentissage automatique de MalLocker indique une évolution continue de cette famille de ranongiciels Android, ont déclaré les chercheurs.

«Ce rançongiciel est la dernière variante d’une famille de logiciels malveillants qui a subi plusieurs étapes d’évolution», ont déclaré les chercheurs. «Nous nous attendons à ce qu’il produise de nouvelles variantes avec des techniques encore plus sophistiquées. En fait, les variantes récentes contiennent du code issu d’un module d’apprentissage automatique open source utilisé par les développeurs pour redimensionner et recadrer automatiquement les images en fonction de la taille de l’écran, une fonction précieuse étant donné la variété des appareils Android. »

La dernière variante de MalLocker indique également que les acteurs de la menace mobile tentent continuellement de contourner les barrières technologiques et de trouver de manière créative des moyens d’atteindre leur objectif – et peuvent ouvrir la porte à de nouvelles tendances en matière de malwares.

“Cette nouvelle variante de ransomware mobile est une découverte importante car le malware présente des comportements qui n’ont jamais été vus auparavant et pourraient ouvrir des portes à d’autres logiciels malveillants”, a ajouté Microsoft.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x