Ransomware trên Android đã học được những mánh khóe mới đáng lo ngại

Mặc dù ransomware đã tồn tại từ nhiều năm, nó đặt ra mối đe dọa ngày càng tăng đối với các bệnh viện, chính quyền địa phương và đơn giản là mọi tổ chức không thể chấp nhận thời gian gián đoạn. Nhưng ngoài loại malware cho máy tính cá nhân thường được sử dụng trong những cuộc tấn công này, có một nền tảng đang nổi lên khác cho ransomware: điện thoại Android. Và nghiên cứu mới từ Microsoft cho thấy những hacker tội phạm đang đầu tư thời gian và nguồn lực để hoàn thiện công cụ ransomware di động của họ, một dấu hiệu cho thấy cuộc tấn công của họ đang tạo ra doanh thu.

Được phát hành vào thứ Năm, những phát hiện này, được phát hiện bằng Microsoft Defender trên điện thoại di động, xem xét một biến thể của một gia đình ransomware Android đã biết đến đã thêm vào đó một số mánh khóe thông minh. Điều đó bao gồm cơ chế giao ransom note mới, kỹ thuật cải tiến để tránh bị phát hiện, và thậm chí là một thành phần học máy có thể được sử dụng để điều chỉnh tấn công cho các thiết bị của các nạn nhân khác nhau. Mặc dù ransomware di động đã xuất hiện ít nhất từ năm 2014 và vẫn chưa phải là mối đe dọa phổ biến, nó có thể sẵn sàng để bước nhảy lớn hơn.

"Quan trọng cho tất cả người dùng là nhận thức rằng ransomware đang ở mọi nơi và nó không chỉ dành cho máy tính xách tay của bạn mà còn cho bất kỳ thiết bị nào bạn sử dụng và kết nối với internet," nói Tanmay Ganacharya, người dẫn dắt nhóm nghiên cứu Microsoft Defender. "Nỗ lực mà những kẻ tấn công đầu tư để xâm nhập vào thiết bị của người dùng - ý định của họ là thu lợi từ nó. Họ đi đến bất cứ nơi nào mà họ tin rằng họ có thể kiếm được nhiều tiền nhất."

Ransomware di động có thể mã hóa tệp trên thiết bị giống như ransomware cho máy tính cá nhân, nhưng thường sử dụng một phương pháp khác. Nhiều cuộc tấn công đơn giản chỉ là làm đầy toàn bộ màn hình của bạn bằng một lời lẽ yêu cầu tiền chuộc mà bạn không thể làm bất cứ điều gì khác trên điện thoại của mình, ngay cả sau khi bạn khởi động lại. Kẻ tấn công thường đã lạm dụng một quyền hạn Android có tên là “SYSTEM_ALERT_WINDOW” để tạo ra một cửa sổ trang trí mà bạn không thể giải tán hoặc vượt qua. Tuy nhiên, các công cụ quét bảo mật bắt đầu phát hiện và đánh dấu các ứng dụng có thể tạo ra hành vi này, và Google đã thêm các biện pháp bảo vệ chống lại nó vào năm ngoái trong Android 10. Làm thay đổi so với cách tiếp cận cũ, ransomware Android vẫn có thể lạm dụng tính năng tiện ích hoặc sử dụng các kỹ thuật ánh xạ để vẽ và vẽ lại cửa sổ trang trí.

Ransomware mà Microsoft quan sát, mà họ gọi là AndroidOS/MalLocker.B, có một chiến lược khác. Nó gọi và điều chỉnh thông báo dành cho việc sử dụng khi bạn nhận cuộc gọi điện thoại. Nhưng kế hoạch ghi đè lên quy trình thông thường của cuộc gọi cuối cùng sẽ vào hộp thư thoại hoặc đơn giản là kết thúc - vì không có cuộc gọi thực sự - và thay vào đó biến đổi thông báo thành một lời lẽ yêu cầu tiền chuộc bạn không thể tránh khỏi và hệ thống ưu tiên mỗi khi sử dụng.

Các nhà nghiên cứu cũng phát hiện một mô-đun học máy trong các mẫu malware mà họ phân tích có thể được sử dụng để tự động điều chỉnh kích thước và phóng to một lời lẽ yêu cầu tiền chuộc dựa trên kích thước hiển thị của thiết bị của nạn nhân. Với sự đa dạng của các mô hình Android đang được sử dụng trên toàn thế giới, một tính năng như vậy sẽ hữu ích đối với những kẻ tấn công để đảm bảo rằng lời lẽ yêu cầu tiền chuộc hiển thị một cách sạch sẽ và rõ ràng. Tuy nhiên, Microsoft phát hiện ra rằng thành phần ML này thực sự không được kích hoạt trong ransomware và có thể vẫn đang được thử nghiệm để sử dụng trong tương lai.

Trong một nỗ lực để tránh bị phát hiện bởi các hệ thống bảo mật của Google hoặc các công cụ quét di động khác, các nhà nghiên cứu của Microsoft phát hiện ra rằng ransomware được thiết kế để che giấu chức năng và mục đích của nó. Mỗi ứng dụng Android đều phải bao gồm một "tệp mô tả," chứa tên và chi tiết của các thành phần phần mềm của nó, giống như một tệp mô tả tàu chứa tất cả hành khách, phi hành đoàn và hàng hóa. Nhưng những đột biến trong tệp mô tả thường là một chỉ báo của phần mềm độc hại, và các nhà phát triển ransomware đã quản lý để loại bỏ mã cho nhiều phần của họ. Thay vào đó, họ mã hóa mã đó để làm cho nó trở nên khó đánh giá hơn và giấu nó trong một thư mục khác nhau, vì vậy ransomware vẫn có thể chạy nhưng sẽ không ngay lập tức tiết lộ ý định độc hại của nó. Hacker cũng sử dụng các kỹ thuật khác, bao gồm cái mà Microsoft gọi là "name mangling," để gán nhãn và giấu các thành phần của malware.

"Gia đình mối đe dọa này đã tồn tại trong một khoảng thời gian, và nó đã sử dụng nhiều kỹ thuật để xâm phạm người dùng, nhưng điều chúng tôi thấy ở đây là nó không làm những gì chúng tôi mong đợi hoặc những gì nó đã làm trong quá khứ," Ganacharya của Microsoft Defender nói.

Microsoft cho biết họ thường thấy ransomware chủ yếu được phân phối bởi các kẻ tấn công trong các diễn đàn trực tuyến và qua các trang web ngẫu nhiên thay vì các kênh chính thức. Họ thường quảng cáo malware bằng cách làm cho nó trông giống như các ứng dụng phổ biến khác, trình phát video hoặc trò chơi để kích thích tải xuống. Và mặc dù có một số ví dụ sớm về ransomware iOS, điều này vẫn ít phổ biến—tương tự như ransomware Mac vẫn là hiếm.

Đảm bảo bạn chỉ tải xuống ứng dụng Android từ các cửa hàng ứng dụng uy tín như Google Play là cách dễ nhất để tránh ransomware di động và bảo vệ bản thân khỏi mọi loại phần mềm độc hại khác, quá. Nhưng với sự thành công của ransomware cho máy tính cá nhân nhắm vào cả doanh nghiệp lớn và cá nhân, ransomware di động có thể chỉ là bắt đầu.

Nhiều câu chuyện tuyệt vời khác từ MYTOUR

Vet chiến tranh, trang web hẹn hò và cuộc gọi điện thoại từ địa ngục

Phòng để thở: Hành trình làm sạch không khí bẩn ở nhà tôi

Tại sao “nữ hoàng của các robot tồi tệ” từ chối vương miện của mình

Amazon, Google, Microsoft—ai có đám mây xanh nhất?

Mọi thứ bạn cần biết về người ảnh hưởng

👁 AI là một lĩnh vực có thể "đạt đến bức tường" sớm không? Ngoài ra, tin tức mới nhất về trí tuệ nhân tạo

🏃🏽‍♀️ Muốn có các công cụ tốt nhất để trở nên khỏe mạnh? Hãy kiểm tra chọn lựa của đội ngũ Gear của chúng tôi về các bộ đàm theo dõi sức khỏe tốt nhất, đồ dùng chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất.

• 📩 Muốn cập nhật thông tin mới nhất về công nghệ, khoa học và nhiều hơn nữa? Đăng ký nhận bản tin của chúng tôi ngay!
• Ngọn lửa hủy diệt ở phương Tây đang làm tan chảy khả năng hiểu biết của chúng ta về cách hoả hoạt động
• Amazon muốn "thắng trong trò chơi." Vậy tại sao nó lại không?
• Nhà xuất bản lo lắng khi sách điện tử bay khỏi kệ ảo của thư viện
• Bức ảnh của bạn không thể thay thế. Hãy lấy chúng khỏi điện thoại của bạn
• Làm thế nào Twitter sống sót qua vụ hack lớn của mình—và kế hoạch để ngăn chặn vụ tấn công tiếp theo
• 🎮 MYTOUR Games: Nhận những mẹo mới nhất, đánh giá và nhiều hơn nữa
• 🏃🏽‍♀️ Muốn có các công cụ tốt nhất để trở nên khỏe mạnh? Hãy kiểm tra chọn lựa của đội ngũ Gear của chúng tôi về các bộ đàm theo dõi sức khỏe tốt nhất, đồ dùng chạy bộ (bao gồm giày và tất), và tai nghe tốt nhất