微软警告 Android 勒索软件会在您按下 “主页” 按钮时激活
一种新型的移动勒索软件利用“来电”通知和“主页”按钮背后的机制来锁定用户设备上的屏幕。
勒索软件名为AndroidOS / MalLocker.B,隐藏在可在在线论坛和第三方网站上下载的Android应用程序内。
就像大多数Android勒索软件一样,MalLocker.B实际上并不加密受害者的文件,而只是阻止访问手机的其余部分。
安装后,勒索软件将接管手机的屏幕,并阻止用户释放勒索便条。该勒索便条看起来像是当地执法部门发出的一条消息,告诉用户他们犯罪了,需要支付罚款。
图片:微软
伪造警察罚款的勒索软件已成为Android勒索软件最流行的形式,已有六十年了。
随着时间的流逝,这些恶意软件已经滥用了Android操作系统的各种功能,以使用户锁定在其主屏幕上。
过去的技术包括滥用“系统警报”窗口或禁用与电话的物理按钮连接的功能。
MalLocker.B带有这些技术的新变体。
勒索软件使用两部分机制来显示其勒索记录。
第一部分滥用“呼叫”通知。此功能可为传入呼叫激活以显示有关呼叫者的详细信息,MalLocker.B使用它来显示一个窗口,该窗口涵盖有关传入呼叫的详细信息在屏幕的整个区域。
第二部分滥用“ onUserLeaveHint()”函数。当用户希望将某个应用推入后台并切换到新应用时,会调用此功能,并在按下“主页”或“最近”等按钮时触发。MalLocker.B滥用此功能将赎金记录带回前台,并防止用户将赎金记录留给主屏幕或其他应用程序。
滥用这两个功能是一个新的,从未见过的窍门,但是劫持“主页”按钮的勒索软件以前见过。
例如,在2017年,ESET发现了一个名为DoubleLocker的Android勒索软件毒株,该毒株滥用了Accessibility服务以在用户按下Home按钮后重新激活自己。
由于MalLocker.B包含的代码过于简单和嘈杂,无法通过Play商店审查,因此建议用户避免安装从第三方位置(例如论坛,网站广告或未经授权的第三方应用商店)下载的Android应用。
可以在Microsoft的博客上找到有关此新威胁的技术细分。
