Những phát hiện của Microsoft liên quan tới một biến thể của ransomware trên Android có tên "MalLocker.B", sử dụng cách thức mới để gửi yêu cầu đòi tiền chuộc trên thiết bị lây nhiễm cùng với cơ chế làm rối mã để tránh các giải pháp bảo mật.
Việc này diễn ra trong bối cảnh các cuộc tấn công ransomware đang gia tăng mạnh mẽ, nhắm vào cơ sở hạ tầng trên nhiều lĩnh vực, với mức tăng trung bình hàng ngày là 50% trong 3 tháng qua so với nửa đầu năm. Bọn tội phạm mạng đang nâng số tiền chuộc lên gấp đôi trong kịch bản của chúng.
MalLocker trước đây được cài trên các trang web độc hại và lưu hành trên các diễn đàn trực tuyến bằng cách sử dụng nhiều kỹ thuật xã hội khác nhau như giả mạo các ứng dụng phổ biến, bẻ khóa các trò giải trí hay những trình phát video.
Các phiên bản trước đây của ransomware Android đã khai thác các tính năng về khả năng truy nhập của Android hoặc quyền gọi là "SYSTEM_ALERT_WINDOW" để hiển thị một cửa sổ liên tục phía trên của tất cả các màn hình nhằm hiển thị thông báo đòi tiền chuộc. Cửa sổ này thường giả mạo về những thông báo của cảnh sát hoặc những cảnh báo về việc tìm kiếm công khai những hình ảnh trên thiết bị.
Tuy nhiên, khi phần mềm chống malware vừa phát hiện ra hoạt động độc hại này, biến thể ransomware mới trên Android đã có chiến lược triển khai để vượt qua rào chắn này. Điều thay đổi với MalLocker.B là phương pháp mà nó đạt được cùng một mục tiêu thông qua chiến thuật hoàn toàn mới.
Để làm được như vậy, nó sử dụng thông báo "cuộc gọi" để cảnh bảo người dùng về các cuộc gọi đến để hiển thị một cửa số choán hết toàn bộ màn hình và sau đó kết hợp với phím Home hoặc Recents để kích hoạt ghi chú đòi tiền chuộc lên phía trước và chặn không cho nạn nhân chuyển sang bất kỳ màn hình nào khác.
Microsoft cho biết: "Điều này tạo ra một chuỗi các sự kiện bị kích hoạt tự động mở ra tên màn hình ransomware mà không cần thao tác lại hoặc mở ra một cửa sổ hệ thống".
Bên cạnh việc gia tăng xây dụng một loạt các kỹ thuật nói trên để hiển thị màn hình ransomware, công ty cũng nhận thấy sự có mặt của mô hình máy học (machine learning) chưa được tích hợp có thể sử dụng để phù hợp với hình ảnh ghi chú đòi tiền chuộc trên màn hình mà không bị sai lệch.
Công ty cho biết, hơn nữa, trong nỗ lực che giấu mục đích thực sự của mình, mã ransomware rất khó hiểu và không thể đọc được thông qua tên xác định trong lệnh (name mangling) và cố ý sử dụng những tên biến vô nghĩa và junk code (mã rác) để cản trở những phân tích.
Nhóm nghiên cứu Microsoft 365 Defender cho biết: "Biến thể ransomware di động mới này là một phát hiện quan trọng vì phần mềm độc hại này có những cách xử lý chưa từng thấy trước đây và có thể mở ra những cánh cửa cho các phần mềm độc hại sau này. Nó giúp nâng cao nhu cầu phòng thủ toàn diện được cấp bởi tầm nhìn rộng lớn trong tấn công bề mặt cũng như các chuyên gia tên miền theo dõi bối cảnh mối đe dọa và phát hiện ra các mối đe dọa lớn đang ẩn trong các tín hiệu và dữ liệu về mối đe dọa".
