アンチウイルスソフトウェアシステムはますます良くなっています。しかし、マルウェア開発者は、さまざまなプラットフォームやオペレーティングシステム向けに、より高度なバージョンの悪意のあるソフトウェアを作成することによって、怠惰に座ることはありません。
ほとんどの場合、特定のプラットフォームまたはOSに対する攻撃者の注意は、これらのシステムの人気によるものです。簡単です。ユーザーが多いほど、大規模な攻撃が成功する可能性が高くなります。マルウェア開発者にとって最も魅力的なターゲットの1つはAndroidです。Microsoftは最近、このオペレーティングシステム用の新世代のマルウェアの結果を公開しました。
Android用のマルウェア?それらは何年もの間存在しており、いくつかはより多く、他はより少なくなっています。
一般的に、すべてが真実ですが、マイクロソフトの情報セキュリティ専門家によって発見されたマルウェアは、その機能に驚いています。Android用のランサムウェアの種類の1つであるAndroidOS / MalLocker.Bについて話しています。
その最新世代は、アンチウイルスソフトウェア市場が提供するほぼすべての保護システムをバイパスすることができます。
メッセージを表示するために、上にスクリーンショットが示されていますが、マルウェアはSYSTEM_ALERT_WINDOW特別な権限を使用しました。これにより、アプリケーションはシステムの「許容範囲」レベルのウィンドウを表示できるため、アンチウイルスソフトウェアはこれに対抗できなくなります。
Android開発者は、 SYSTEM_ALERT_WINDOW を使用して、システムの問題とエラーに関するメッセージの表示を実装しました。悪意のあるソフトウェア開発者は、「システム」メッセージを使用して送金要求を表示しますが、デバイスの他のすべての機能はブロックされます。かなり頻繁に機能し、経験の浅いユーザーは実際に支払います。
Android開発者は、この危険を回避するために、最近のOSバージョンにいくつかの変更を導入しました。
- SYSTEM_ALERT_WINDOWを他のエラー/通知メッセージウィンドウの呼び出しタイプに置き換えました。
- 一緒にではなく、さまざまなアプリケーションにSYSTEM_ALERT_WINDOWを使用する許可を求めるユーザーリクエストが導入されました。
- ユーザーがSYSTEM_ALERT_WINDOWウィンドウを非アクティブ化する機能が追加されました。
悪意のあるソフトウェア開発者が適応しようとしました。たとえば、身代金を要求するウィンドウを描画するプロセスがサイクルに導入されました。しかし、これは特に効果的な方法ではありませんでした。ユーザーはすべてを最小化し、設定に移動して、問題のあるアプリケーションを削除できるからです。
しかし今ではすべてが変わったので、悪意のあるソフトウェアの開発者も「野郎ではない」ことが判明しました。
AndroidOS / MalLocker.Bは正確に何をしますか?
次世代のマルウェアは、コールウィンドウ機能と相互作用します。優先度が高いため、ウィンドウを閉じるのは簡単ではありません。ウィンドウ自体の内部には、サイバー犯罪者のウォレットに送金する必要がある同じテキストが表示されます。
これを行うには、2つのコンポーネントを使用して、特別なタイプの通知を作成し、それによって通話ウィンドウをアクティブにします。
これが onUserLeaveHintでアクティブ化されると、[ホーム]や[最近]などのボタンを押したときにアクティブ化される機能です。マルウェアはこれを使用して、ユーザーがホーム画面に戻ったり、身代金ウィンドウを最小化したり、別のアプリケーションに切り替えたりするのを防ぎます。ランサムウェアはDoubleLockerを使用し、Accessibilityサービスと組み合わせていたため、この戦術は新しいものです。
もう1つの新しいランサムウェア機能は、マシン学習モジュールの使用です。これにより、マルウェアはメッセージボックスの必要なサイズを決定し、デバイスの画面サイズやその他の機能に適合させることができます。Androidのタブレットや電話には非常に多くのモデルがあるため、これはランサムウェアにとって非常に便利な「スキル」です。
以下は、最新の「ファミリ」の代表を含む、さまざまなタイプのマルウェアがどのように機能するかを示す図です。クリックするとフルサイズの画像が開きます。
セキュリティの専門家は、このランサムウェアブランチの進化は行き止まりにはほど遠いことを示唆しています。新しい機能を備えた世代はまだ数世代あります。
保護バイパスと配布方法
AndroidOS / MalLocker.Bの開発者は、通常のGoogleセキュリティシステムとサードパーティのアンチウイルスソリューションの両方をバイパスするように「頭脳」を教えました。これは、ランサムウェアの機能の一部をマスクすることによって行われます。
したがって、Androidアプリケーションには、すべてのソフトウェアコンポーネントの名前と詳細を含む「マニフェストファイル」が含まれています。マルウェア開発者は通常、いくつかの重要なコンポーネントをマスクして非表示にします。新しいランサムウェアの作成者は、別のパスを選択しました。アンチウイルスアプリケーションがマルウェアを検出するのを防ぐコードをわかりにくくしています。さらに、ファイルは別のフォルダーに隠されているため、ランサムウェアは機能しますが、「その意図の真実」は表示されません。
新しいマルウェアがGooglePlayストアに侵入する可能性は低いですが、あまり問題なくサードパーティのアプリカタログに侵入する可能性があります。現在、ランサムウェアは、フォーラム、通常のWebサイト、Androidアプリケーションのサードパーティカタログで開発者によって配布されています。ここでは新しいことは何もありません。サイバー犯罪者の戦術は標準的です-悪意のあるソフトウェアを人気のあるアプリケーション、ビデオゲーム、プレーヤー、またはそのようなものに偽装することです。
マルウェアの拡散を防ぐために、Microsoftは、ランサムウェアの調査結果が公開される前であっても、マルウェアに関する詳細情報をGoogleと共有しました。情報セキュリティの専門家がユーザーに提供する推奨事項は最も単純です。信頼できるソースからアプリケーションをダウンロードし、電子メールメッセージに含まれているものを含む疑わしいリンクをクリックしないでください。
