Última versión de MalLocker Android Ransomware …



Como la mayoría de este tipo de malware móvil, el nuevo no cifra los datos, pero intenta hacer que un sistema infectado sea imposible de usar, dice Microsoft.

Los investigadores de seguridad de Microsoft han detectado una nueva y peligrosa versión de MalLocker, una familia de ransomware de Android en constante evolución que ha estado flotando en la naturaleza desde al menos 2014.

La nueva versión se destaca por cómo muestra la demanda de rescate en los dispositivos infectados y su integración de un módulo de aprendizaje automático de código abierto para el recorte contextual de la nota de rescate, según el tamaño de la pantalla. La última variante de MalLocker también utiliza un nuevo método de ofuscación para dificultar el análisis de código y evadir la detección de herramientas anti-malware.

en un reporte esta semana, Microsoft describió MalLocker como distribuido a través de sitios world wide web arbitrarios y foros en línea, o escondido en aplicaciones populares y reproductores de video clip para dispositivos móviles. Como muchas otras variantes de ransomware de Android, el nuevo MalLocker en realidad no cifra los datos de los dispositivos infectados. En cambio, intenta evitar que los usuarios usen un dispositivo infectado mostrando una nota de rescate en cada ventana. Independientemente del botón que haga clic el usuario, la nota de rescate permanece encima de todas las demás ventanas.

Lo que es diferente en la nueva variante de MalLocker es la forma en que logra esta persistencia. Las herramientas de ransomware de Android anteriores aprovecharon una función de alerta del sistema en el sistema operativo para mostrar la nota de ransomware. Pero eso se ha vuelto casi imposible de hacer ahora debido a ciertos cambios a nivel de plataforma que Google ha implementado para frustrar el abuso, dijo Microsoft.

En cambio, la nueva variante abusa de otras dos funciones que están presentes en las versiones recientes de Android. «En primer lugar, establece su notificación como una notificación muy importante que requiere la atención inmediata del usuario», dice Tanmay Ganacharya, director de socios de investigación de seguridad de Microsoft. «Esta notificación está programada para mostrar el aviso de rescate», dice.

En segundo lugar, el malware está diseñado para garantizar que esta notificación siempre se muestre cuando el usuario intenta realizar otras actividades o realiza otras funciones. «Hace esto usando una devolución de llamada, que es una forma en que las funciones se pasan un fragmento de código entre sí», dice Ganacharya.

En Android, una devolución de llamada es una forma en que una función le permite a otra función saber que una acción, como que un usuario presione el botón Inicio, se completó, señala. La nueva versión de MalLocker está diseñada para aprovechar el método de devolución de llamada para saber cuándo un usuario podría haber completado una acción específica para que pueda mostrar rápidamente la nota de rescate. «Esto significa que, haga lo que haga el usuario, la notificación del ransomware siempre se muestra, lo que evita que el usuario realice cualquier otra acción», dice Ganacharya.

Además, la nueva versión de MalLocker también incorpora un módulo de aprendizaje automático de código abierto que le permite conocer el tamaño de la pantalla de un dispositivo infectado para que la nota de rescate se pueda redimensionar y recortar automáticamente para que se ajuste sin distorsión.

Según Microsoft, las tácticas de ofuscación del nuevo malware de Android también son dignas de mención. La forma en que los autores de malware han cifrado y ocultado la carga útil, la rutina de descifrado que utiliza y la presencia de una gran cantidad de código basura introducido deliberadamente hacen que el malware sea difícil de analizar y detectar, dijo Microsoft.

Los usuarios con dispositivos infectados pueden intentar reiniciar el sistema en modo seguro y luego desinstalar el malware, dijo Microsoft.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic