Nieuwe Android ransomware wordt door Microsoft voor gewaarschuwd

Microsoft waarschuwt voor een nieuwe variant van Android ransomware die misbruik maakt van binnenkomende belnotifcaties en de home knop van Android om het devices te locken achter een losgeldmelding (ransom note).

Het betreft hier een variant van de bekende Android ransomware family met de naam “MalLocker.B”, welke opnieuw is opgedoken met nieuwe technieken, waaronder nieuwe middelen om losgeld te eisen op geïnfecteerde devices en een “obfuscation” mechanisme om security oplossingen te ontwijken.

Dit komt gedurende een tijd waarin er een grote toename is in ransomware aanvallen tegen kritieke infrastructuren in verschillende sectoren. Er is een 50% toename gezien in het dagelijks gemiddelde van ransomware aanvallen in de laatste 3 maanden ten opzichte van het eerste halfjaar van dit jaar. Ook steeds meer cybercriminelen doen aan “double extortion“, waarbij er naast het encrypten van de gegevens van de organisaties ook gedreigd wordt met het publiceren van deze gegevens als er niet wordt betaald.

MalLocker

MalLocker staat bekend dat het wordt gehost op kwaadaardige websites en wordt verspreid via online forums via verschillende social enginering technieken door zich te vermommen als populaire apps, gekraakte games of video spelers.

Eerder varianten van ransomware op Android hebben misbruik gemaakt van toegankelijkheid functionaliteiten of een permissie genaamd “SYSTEM_ALERT_WINDOW” om een blijvend window boven andere schermen te laten zien als losgeldmelding, vaak vermomd als nep politie meldingen of meldingen over expliciete afbeeldingen gevonden op het device.

Op het moment dat anti-malware oplossingen dit gedrag begonnen te herkennen, is deze nieuwe Android ransomware variant zo ontwikkeld dat het om deze barrière heen gaat. De verandering met MalLocker.B is de methode waarmee hetzelfde doel word behaald via compleet nieuwe tactiek.

android ransomware code

Hoe doet MalLocker dit?

MalLocker doet dit door gebruikt te makken van de belnotificaties die normaal gesproken een gebruiker op de hoogte brengt wanneer er een inkomend gesprek is en een windows laat zien dat het gehele scherm beslaat. In combinatie met de Home of Recent knop wordt de losgeldmelding getriggerd naar de voorgrond en voorkomt dat een slachtoffer kan wisselen naar een ander scherm.

“Hiermee wordt een ketting van events gecreëerd die automatische pop-ups triggers van het ransomware scherm, zonder steeds opnieuw terug te trekken of zich voordoen als een systeem windows,” geeft Microsoft aan.

Naast het bouwen op een reeks van hiervoor genoemde technieken om het ransomware scherm te laten zien, is ook gezien dat een nog te integreren machine learning model aanwezig is. Deze kan gebruikt worden om de losgeldmelding afbeelding te plaatsen op het scherm zonder vervorming. Dit is naar waarschijnlijkheid de volgende evolutie van de malware.

Daarnaast in een poging om zijn huidige doel te verbergen, is de ransomware code erg onduidelijk en onleesbaar gemaakt door name mangling en expres gebruiken van zinloze variabele namen en overbodige code om analyse te dwarsbomen.

Waarom is dit een belangrijke ontdekking

Deze nieuwe Android ransomware variant is een belangrijke ontdekking, omdat deze malware gedrag vertoond dat nog niet eerder is gezien en de deuren voor andere malware kan openen, om dit ook te gaan doen. Geeft het Microsoft 365 Defender Research Team aan.

Dit versterkt de noodzaak voor uitgebreide verdediging door een brede zichtbaarheid in aanvalsoppervlakten en daarnaast domein experts die het dreigingenlandschap in de gaten houden en noemenswaardige dreigingen ontdekken die zich mogelijk verbergen tussen grote hoeveelheid dreigingen data en signalen.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

QR codes zijn handig, maar ook een Cybersecurity dreiging
Nieuwe Emotet aanval met neppe Windows updates

Gerelateerde berichten

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

RYUK ransomware

Ryuk ransomware gang maakt gebruikt van Zerologon voor zeer snelle aanval

emotet

Nieuwe Emotet aanval met neppe Windows updates

QR code

QR codes zijn handig, maar ook een Cybersecurity dreiging

Microsoft

Grote toename in pogingen tot misbruik Zerologon kwetsbaarheid in 1 week tijd

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

10 − tien =

Menu