Una nueva variedad de ransomware Android abusa de los mecanismos detrás de la notificación de «llamada entrante» y el botón «Inicio» para bloquear las pantallas en los dispositivos de los usuarios. Llamado AndroidOS / MalLocker.B, el ransomware está oculto dentro de las aplicaciones de Android que se ofrecen para su descarga en foros en línea y sitios web de terceros.
Al igual que la mayoría de las variedades de ransomware de Android, MalLocker.B en realidad no cifra los archivos de la víctima, sino que simplemente impide el acceso al resto del teléfono. Una vez instalado, el ransomware se apodera de la pantalla del teléfono y evita que el usuario descarte la nota de rescate, que está diseñada para parecerse a un mensaje de la policía local que les dice a los usuarios que cometieron un delito y que deben pagar una multa. El ransomware que se hace pasar por multas policiales falsas ha sido la forma más popular de ransomware de Android durante más de media década.
A lo largo del tiempo
Estas cepas de malware han abusado de varias funciones de los sistemas operativos Android para mantener a los usuarios bloqueados en su pantalla de inicio. Las técnicas pasadas incluían abusar de la ventana de Alerta del sistema o deshabilitar las funciones que interactúan con los botones físicos del teléfono. MalLocker.B viene con una nueva variación de estas técnicas. El ransomware utiliza un mecanismo de dos partes para mostrar su nota de rescate.
La primera parte:
Abusa de la notificación de «llamada». Esta es la función que se activa para que las llamadas entrantes muestren detalles sobre la persona que llama, y MalLocker.B la usa para mostrar una ventana que cubre toda el área de la pantalla con detalles sobre la llamada entrante.
La segunda parte:
Abusa de la función «onUserLeaveHint ()». Se llama a esta función cuando los usuarios desean colocar una aplicación en segundo plano y cambiar a una nueva. Se activa al presionar botones como Inicio o Recientes. MalLocker.B abusa de esta función para traer su nota de rescate a primer plano y evitar que el usuario deje la nota de rescate para la pantalla de inicio u otra aplicación.
El abuso de estas dos funciones es un truco nuevo y nunca antes visto, pero el ransomware que secuestra el botón Inicio ya se ha visto antes. Por ejemplo, en 2017, ESET descubrió una variedad de ransomware de Android llamada DoubleLocker que abusó del servicio de accesibilidad para reactivarse después de que los usuarios presionaron el botón Inicio.
Dado que MalLocker.B contiene un código demasiado simplista y ruidoso para superar las revisiones de Play Store, se recomienda a los usuarios que eviten instalar aplicaciones de Android que descargaron de ubicaciones de terceros, como foros, anuncios de sitios web o tiendas de aplicaciones de terceros no autorizadas.
Origen: Microsoft advierte sobre el ransomware de Android que se activa al presionar el botón Inicio | ZDNet
