Sistem perangkat lunak antivirus menjadi lebih baik dan lebih baik. Tetapi pengembang malware juga sibuk membuat versi perangkat lunak berbahaya yang lebih canggih untuk berbagai macam platform dan sistem operasi.
Paling sering, perhatian penjahat dunia maya ke platform atau OS tertentu karena popularitas sistem ini. Sederhana saja - semakin banyak pengguna yang mereka miliki, semakin besar peluang serangan besar yang berhasil. Salah satu target paling menarik bagi pengembang malware adalah Android. Microsoft baru-baru ini menerbitkan hasil malware generasi baru untuk sistem operasi ini.
Malware untuk Android? Mereka telah ada selama bertahun-tahun, sebagian lagi, sebagian lagi kurang.
Secara umum, semuanya benar, tetapi malware yang ditemukan oleh pakar keamanan informasi dari Microsoft mengejutkan dengan kemampuannya. Kita berbicara tentang AndroidOS / MalLocker.B , salah satu varietas ransomware untuk Android.
Generasi terbarunya mampu melewati hampir semua sistem perlindungan yang ditawarkan oleh pasar perangkat lunak antivirus.
Untuk menampilkan pesan, screenshot yang ditampilkan di atas, malware menggunakan izin khusus SYSTEM_ALERT_WINDOW . Ini memungkinkan aplikasi untuk menampilkan jendela dengan tingkat "toleransi" sistem, sehingga perangkat lunak anti-virus tidak dapat melawan.
Pengembang Android, menggunakan SYSTEM_ALERT_WINDOW, mengimplementasikan tampilan pesan tentang masalah dan kesalahan dalam sistem. Pengembang perangkat lunak berbahaya menggunakan pesan "sistem" untuk menunjukkan permintaan pengiriman uang, sementara semua fungsi lain dari perangkat diblokir. Cukup sering itu berhasil, dan pengguna yang tidak berpengalaman benar-benar membayar.
Pengembang Android telah memperkenalkan beberapa perubahan dalam versi OS terbaru untuk menghindari bahaya ini:
- Mengganti SYSTEM_ALERT_WINDOW dengan jenis panggilan jendela pesan kesalahan / pemberitahuan lainnya.
- Memperkenalkan permintaan pengguna untuk izin menggunakan SYSTEM_ALERT_WINDOW untuk aplikasi yang berbeda, tidak semuanya secara bersamaan.
- Menambahkan kemampuan untuk menonaktifkan jendela SYSTEM_ALERT_WINDOW oleh pengguna.
Pengembang perangkat lunak berbahaya mencoba beradaptasi. Misalnya, proses menggambar jendela dengan permintaan uang tebusan dimasukkan ke dalam siklus. Tetapi ini bukan metode yang sangat efektif, karena pengguna dapat meminimalkan semuanya, masuk ke pengaturan dan hapus aplikasi yang bermasalah.
Tapi sekarang semuanya telah berubah, para pengembang perangkat lunak berbahaya itu ternyata juga "bukan bajingan."
Apa sebenarnya yang dilakukan AndroidOS / MalLocker.B?
Malware generasi berikutnya berinteraksi dengan fungsi jendela panggilan. Menutup jendela memang tidak mudah karena memiliki prioritas tinggi. Di dalam jendela itu sendiri, teks yang sama ditampilkan dengan persyaratan untuk mengirim uang ke dompet penjahat dunia maya.
Untuk melakukan ini, dua komponen digunakan yang memungkinkan Anda membuat jenis pemberitahuan khusus, yang kemudian mengaktifkan jendela panggilan telepon.
Saat ini diaktifkan diUserLeaveHint , fitur yang diaktifkan saat Anda menekan tombol seperti Beranda atau Terbaru. Malware menggunakannya untuk mencegah pengguna kembali ke layar beranda, meminimalkan jendela tebusan, atau beralih ke aplikasi lain. Taktik ini baru, karena ransomware digunakan untuk menggunakan DoubleLocker dan menggabungkannya dengan layanan Aksesibilitas.
Fitur ransomware baru lainnya adalah penggunaan modul pembelajaran mesin, yang memungkinkan malware untuk menentukan ukuran kotak pesan yang diperlukan, menyesuaikannya dengan ukuran layar dan fitur lain dari perangkat. Karena ada begitu banyak model tablet dan ponsel Android, ini adalah "keterampilan" yang sangat berguna untuk ransomware.
Di bawah ini adalah diagram tentang cara kerja berbagai jenis malware, termasuk perwakilan dari "keluarga" terbaru. Gambar ukuran penuh akan terbuka saat diklik.
Pakar keamanan berpendapat bahwa evolusi cabang ransomware ini jauh dari jalan buntu - masih ada beberapa generasi mendatang dengan fitur dan kemampuan baru.
Metode bypass dan distribusi perlindungan
Pengembang AndroidOS / MalLocker.B mengajarkan "gagasan" mereka untuk melewati sistem keamanan Google biasa dan solusi antivirus pihak ketiga. Ini dilakukan dengan menutupi beberapa fitur dan kemampuan ransomware.
Karenanya, aplikasi Android apa pun menyertakan "file manifes" yang berisi nama dan detail semua komponen perangkat lunak. Pengembang malware biasanya menutupi dan menyembunyikan beberapa komponen penting. Pembuat ransomware baru telah memilih jalur yang berbeda - mereka mengaburkan kode yang mencegah aplikasi antivirus mendeteksi malware. Selain itu, file tersebut disembunyikan di folder lain, sehingga ransomware dapat berfungsi, tetapi tidak menunjukkan "kebenaran maksudnya".
Malware baru tidak mungkin menembus Google Play Store, tetapi bisa masuk ke katalog aplikasi pihak ketiga tanpa masalah. Sekarang ransomware didistribusikan oleh pengembang di forum, situs web biasa, katalog aplikasi Android pihak ketiga. Tidak ada yang baru di sini, taktik penjahat dunia maya adalah standar - untuk menyamarkan perangkat lunak berbahaya sebagai aplikasi populer, permainan video, pemutar, atau hal lain seperti itu.
Untuk mencegah penyebaran malware, Microsoft membagikan informasi mendetail tentangnya dengan Google - bahkan sebelum hasil studi ransomware dipublikasikan. Rekomendasi yang diberikan oleh pakar keamanan informasi kepada pengguna adalah yang paling sederhana - mengunduh aplikasi dari sumber tepercaya dan tidak mengklik tautan yang mencurigakan, termasuk yang terdapat dalam pesan email.
