最近微軟已經發出了警告，一種新型的移動勒索軟件開始出現，該軟件利用來電通知和Android的“Home”按鈕將設備鎖定，然后進行勒索。

微軟研究團隊發現了一個名為“MalLocker.B”的已知Android勒索軟件家族的變體，該家族現在已經采用新技術重新出現，包括采用對受感染設備的勒索需求的新穎方法以及采用一種逃避安全解決方案的混淆處理機制。

針對關鍵基礎設施的勒索軟件攻擊平均每天增加了50%，網絡犯罪分子越來越多地將雙重勒索手段（double extortion）納入他們的攻擊策略之中。雙重勒索手段（double extortion）即在對受害者的數據庫進行加密之前，攻擊者會提取大量敏感的商業信息，并威脅要發布這些信息。

眾所周知，MalLocker托管在惡意網站上，并通過偽裝成流行的應用程序，破解游戲或視頻播放器，利用各種社會工程學誘餌在在線論壇上傳播。

先前的Android勒索軟件都利用了稱為“ SYSTEM_ALERT_WINDOW”的Android可訪問性功能，在所有其他屏幕上方顯示一個持久窗口以顯示勒索通知，勒索通知通常偽裝成彈出的安全警報通知或關于在設備上發現所謂的攻擊信息。

但是，正如反惡意軟件開始檢測到這種行為一樣，新的Android勒索軟件變種也具備了對應的反檢測功能，MalLocker.B的特別之處就在于它通過全新的策略實現了勒索。

為此，它利用了“呼叫”通知，該通知用于提醒用戶有關來電的信息，以顯示一個覆蓋整個屏幕區域的窗口，然后將其與“Home”與“Recent鍵組合以觸發贖金記錄，并防止受害者切換到其他任何屏幕。簡單來說，就是Android勒索軟件通常會通過在屏幕上覆蓋一張勒索通知來阻止用戶對受感染設備的訪問，這會屏蔽設備顯示屏上的所有內容，從而使設備無法使用。

按著微軟的說法：“觸發勒索軟件屏幕的自動彈出無需進行無限重繪或假裝成系統窗口。”

2019年9月發布的Android 10在某種程度上消除了這些所謂的“覆蓋攻擊”，但MalLocker.B通過操作系統的來電通知方式繞過了該保護措施。攻擊者除了逐步完善一系列顯示勒索軟件屏幕的技術外，還開發了一種尚待集成的機器學習模型，該模型可用于將勒索票據圖像擬合到屏幕中而不會變形，這也代表了該惡意軟件的下一步發展方向。

此外，為了掩蓋其真正目的，攻擊者會將勒索軟件代碼嚴重混淆，并且通過名稱修改和故意使用無意義的變量名和垃圾代碼來阻止分析，從而使分析過程變得復雜。

微軟365 Defender研究小組發現，這種新的移動勒索軟件變種是一個重要發現，因為該惡意軟件表現出前所未有的功能行為，并可能成為其他惡意軟件的樣本。

本文翻譯自：https://thehackernews.com/2020/10/android-ransomware-lock.html
責編AJX