Microsoft advierte sobre una nueva variedad de ransomware de Android que se activa presionando el botón "Inicio" o "Recientes". Bautizado con el nombre de MalLocker.B y está distribuido: foros en línea y sitios de terceros, no cifra los ficheros, pero muestra la típica "Nota de rescate" del mal llamada virus de la policía.

Microsoft advierte sobre el ransomware de Android que se activa cuando presiona el botón Inicio

El nuevo ransomware MalLocker.B se está propagando actualmente a través de foros en línea y sitios web de terceros

Una nueva variedad de ransomware móvil abusa de los mecanismos detrás de la notificación de "llamada entrante" y el botón "Inicio" para bloquear la pantalla en los dispositivos de los usuarios.

Llamado AndroidOS / MalLocker.B, el ransomware está oculto dentro de las aplicaciones de Android que se ofrecen para su descarga en foros en línea y sitios web de terceros.

Al igual que la mayoría de las variedades de ransomware de Android, MalLocker.B en realidad no cifra los archivos de la víctima, sino que simplemente impide el acceso al resto del teléfono.

Una vez instalado, el ransomware se apodera de la pantalla del teléfono y evita que el usuario descarte la nota de rescate, que está diseñada para parecerse a un mensaje de la policía local que les dice a los usuarios que cometieron un delito y que deben pagar una multa.

El ransomware que se hace pasar por multas policiales falsas, ha sido la forma más popular de ransomware de Android durante más de media década.

A lo largo del tiempo, estas cepas de malware han abusado de varias funciones de los sistemas operativos Android para mantener a los usuarios bloqueados en su pantalla de inicio.

Las técnicas pasadas incluían abusar de la ventana de Alerta del sistema o deshabilitar las funciones que interactúan con los botones físicos del teléfono.

MalLocker.B viene con una nueva variación de estas técnicas.

En versiones anteriores este malware utilizaba el permiso ‘SYSTEM_ALERT_WINDOW’ para mostrar la pantalla de notificaciones para pedir un rescate de forma persistente. Después de que este comportamiento fuera detectado por los motores antivirus, los atacantes han conseguido realizar el mismo comportamiento utilizando otras vías.

El ransomware utiliza un mecanismo de dos partes para mostrar su nota de rescate.

La primera parte abusa de la notificación de "llamada". Esta es la función que se activa para que las llamadas entrantes muestren detalles sobre la persona que llama, y ​​MalLocker.B la usa para mostrar una ventana que cubre toda el área de la pantalla con detalles sobre la llamada entrante.

La segunda parte abusa de la función "onUserLeaveHint ()". Se llama a esta función cuando los usuarios quieren poner una aplicación en segundo plano y cambiar a una nueva aplicación, y se activa al presionar botones como Inicio o Recientes. MalLocker.B abusa de esta función para traer su nota de rescate a primer plano y evitar que el usuario deje la nota de rescate para la pantalla de inicio u otra aplicación.

El abuso de estas dos funciones es un truco nuevo y nunca antes visto, pero el ransomware que secuestra el botón Inicio ya se ha visto antes.

Por ejemplo, en 2017, ESET descubrió una cepa de ransomware de Android llamada DoubleLocker que abusó del servicio de accesibilidad para reactivarse después de que los usuarios presionaron el botón Inicio.

Dado que MalLocker.B contiene un código demasiado simplista y ruidoso para superar las revisiones de Play Store, se recomienda a los usuarios que eviten instalar aplicaciones de Android que descargaron de ubicaciones de terceros, como foros, anuncios de sitios web o tiendas de aplicaciones de terceros no autorizadas.

Un desglose técnico de esta nueva amenaza está disponible en el blog de Microsoft:

• https://www.microsoft.com/security/blog/2020/10/08/sophisticated-new-android-malware-marks-the-latest-evolution-of-mobile-ransomware/
  

Fuente:

https://www.zdnet.com/article/microsoft-warns-of-android-ransomware-that-activates-when-you-press-the-home-button/