Новый вид мобильных программ-вымогателей злоупотребляет механизмами уведомления о «входящем вызове» и кнопкой «Домой» для блокировки экранов на устройствах пользователей.
Программа-вымогатель AndroidOS / MalLocker.B спрятана в приложениях Android, предлагаемых для загрузки на онлайн-форумах и сторонних веб-сайтах.
Как и большинство программ-вымогателей Android, MalLocker.B на самом деле не шифрует файлы жертвы, а просто предотвращает доступ к остальной части телефона.
После установки программа-вымогатель захватывает экран телефона и не позволяет пользователю отклонить записку о выкупе, которая выглядит как сообщение от местных правоохранительных органов, сообщающее пользователям, что они совершили преступление и должны заплатить штраф. .
Изображение: Microsoft
Программы-вымогатели, выдававшие себя за фальшивые полицейские штрафы, уже более полувека являются самой популярной формой вымогателей для Android.
С течением времени эти вредоносные программы злоупотребляли различными функциями операционных систем Android, чтобы держать пользователей заблокированными на их главном экране.
Предыдущие методы включали злоупотребление окном системных предупреждений или отключение функций, взаимодействующих с физическими кнопками телефона.
MalLocker.B предлагает новую вариацию этих техник.
Программа-вымогатель использует механизм, состоящий из двух частей, чтобы показать свою записку с требованием выкупа.
Первая часть злоупотребляет уведомлением о "звонке". Это функция, которая активируется для входящих вызовов, чтобы показать подробную информацию о вызывающем абоненте, и MalLocker.B использует ее для отображения окна, которое покрывает всю область экрана с подробностями о входящем вызове.
Вторая часть злоупотребляет функцией onUserLeaveHint (). Эта функция вызывается, когда пользователи хотят перевести приложение в фоновый режим и переключиться на новое приложение, и она запускается при нажатии таких кнопок, как «Домой» или «Недавние». MalLocker.B злоупотребляет этой функцией, чтобы вернуть свою записку о выкупе на передний план и не дать пользователю оставить записку о выкупе для домашнего экрана или другого приложения.
Злоупотребление этими двумя функциями — новый и невиданный ранее трюк, но программы-вымогатели, перехватывающие кнопку «Домой», встречались и раньше.
Например, в 2017 году компания ESET обнаружила штамм вымогателя для Android под названием DoubleLocker, который злоупотреблял службой специальных возможностей для повторной активации после нажатия пользователем кнопки «Домой».
Поскольку MalLocker.B содержит слишком упрощенный и громкий код, чтобы не допустить его проверки в Play Маркете, пользователям рекомендуется избегать установки приложений Android, которые они загрузили из сторонних источников, таких как форумы, объявления на веб-сайтах или неавторизованные сторонние магазины приложений.
Техническая разбивка этой новой угрозы доступна в блоге Microsoft .
