image

Android-ransomware blokkeert toegang tot toestel op nieuwe wijze

vrijdag 9 oktober 2020, 12:10 door Redactie, 5 reacties

Onderzoekers van Microsoft hebben een ransomware-exemplaar voor Android ontdekt dat de toegang tot het toestel op een nieuwe manier blokkeert. Net als de meeste Android-ransomware versleutelt "MalLocker" geen bestanden, maar blokkeert het de toegang tot het toestel door over elk ander scherm een losgeldmelding te laten zien. Hierdoor kan de gebruiker verder niets met het toestel doen, zegt onderzoeker Dinesh Venkatesan.

Voor het tonen van dergelijke meldingen maakte Android-ransomware lange tijd gebruik van een bepaalde permissie waarmee een venster boven alle andere vensters kon worden getoond. Google nam daarop verschillende maatregelen om dit misbruik tegen te gaan. Ontwikkelaars van Android-ransomware reageerden hierop door andere features van het besturingssysteem te misbruiken, maar die zijn volgens Venkatesan niet zo effectief.

Het gaat dan bijvoorbeeld om het gebruik van de accessibility service of door middel van oneindige loops allerlei vensters te tonen. Er zitten echter verschillende nadelen aan deze methodes. De nieuwe versie van MalLocker maakt gebruik van verschillende Android-onderdelen die de onderzoekers van Microsoft niet eerder hebben waargenomen.

Het gaat om de "call" notificatie, één van de notificaties op Android waarop de gebruiker meteen moet reageren. Normaal toont deze notificatie informatie over de beller, maar de ransomware gebruikt die voor het tonen van een venster dat hele scherm in beslag neemt en stelt dat de gebruiker losgeld moet betalen.

Deze notificatie wordt gecombineerd met de onUserLeaveHint-methode. Deze functie wordt aangeroepen wanneer de gebruiker, door op de home-knop te drukken, een andere app in de voorgrond wil hebben. De ransomware gebruikt deze functie om het losgeldscherm weer naar de voorgrond te halen. Zo kan de gebruiker geen andere apps starten.

Microsoft laat weten dat de malafide apps die de ransomware bevatten niet via de Google Play Store worden aangeboden. In plaats daarvan wordt de ransomware aangeboden op willekeurige websites en online fora, waarbij wordt voorgedaan alsof het om populaire apps, gekraakte games en videospelers gaat.

Reacties (5)
09-10-2020, 13:25 door Anoniem
Leuke pagina van Dinesh Venkatesan, maar ik had graag een volledige lijst met IOC's willen zien met hashes.
Nu kan ik niets met die informatie.
09-10-2020, 20:59 door Anoniem
Werkt resetten naar fabrieksinstellingen wel gewoon?
10-10-2020, 19:43 door Anoniem
Ransomware zit niet in de Google Play Store. Dus geen enkel probleem.
12-10-2020, 08:52 door spatieman
Door Anoniem: Ransomware zit niet in de Google Play Store. Dus geen enkel probleem.

Daar zou ik maar eens mee voorzichtig mee zijn, iemand zet een app in de store, en dan bij donderslag ben je de pineut, ook al wordt de app binnen een paar uur verwijderd, de schade is al geleden.
12-10-2020, 09:27 door Anoniem
Door spatieman:
Door Anoniem: Ransomware zit niet in de Google Play Store. Dus geen enkel probleem.

Daar zou ik maar eens mee voorzichtig mee zijn, iemand zet een app in de store, en dan bij donderslag ben je de pineut, ook al wordt de app binnen een paar uur verwijderd, de schade is al geleden.
Je moet ook niet zo maar een app installeren bij donderslag. Mijnvader en moeder installeren niet eens apps.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.