Onderzoekers van Microsoft hebben een ransomware-exemplaar voor Android ontdekt dat de toegang tot het toestel op een nieuwe manier blokkeert. Net als de meeste Android-ransomware versleutelt "MalLocker" geen bestanden, maar blokkeert het de toegang tot het toestel door over elk ander scherm een losgeldmelding te laten zien. Hierdoor kan de gebruiker verder niets met het toestel doen, zegt onderzoeker Dinesh Venkatesan.
Voor het tonen van dergelijke meldingen maakte Android-ransomware lange tijd gebruik van een bepaalde permissie waarmee een venster boven alle andere vensters kon worden getoond. Google nam daarop verschillende maatregelen om dit misbruik tegen te gaan. Ontwikkelaars van Android-ransomware reageerden hierop door andere features van het besturingssysteem te misbruiken, maar die zijn volgens Venkatesan niet zo effectief.
Het gaat dan bijvoorbeeld om het gebruik van de accessibility service of door middel van oneindige loops allerlei vensters te tonen. Er zitten echter verschillende nadelen aan deze methodes. De nieuwe versie van MalLocker maakt gebruik van verschillende Android-onderdelen die de onderzoekers van Microsoft niet eerder hebben waargenomen.
Het gaat om de "call" notificatie, één van de notificaties op Android waarop de gebruiker meteen moet reageren. Normaal toont deze notificatie informatie over de beller, maar de ransomware gebruikt die voor het tonen van een venster dat hele scherm in beslag neemt en stelt dat de gebruiker losgeld moet betalen.
Deze notificatie wordt gecombineerd met de onUserLeaveHint-methode. Deze functie wordt aangeroepen wanneer de gebruiker, door op de home-knop te drukken, een andere app in de voorgrond wil hebben. De ransomware gebruikt deze functie om het losgeldscherm weer naar de voorgrond te halen. Zo kan de gebruiker geen andere apps starten.
Microsoft laat weten dat de malafide apps die de ransomware bevatten niet via de Google Play Store worden aangeboden. In plaats daarvan wordt de ransomware aangeboden op willekeurige websites en online fora, waarbij wordt voorgedaan alsof het om populaire apps, gekraakte games en videospelers gaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.