Il ransomware circola da anni e rappresenta una minaccia sempre maggiore per gli ospedali, i governi municipali e praticamente qualsiasi istituzione che non può tollerare i tempi di inattività. Ma insieme ai vari tipi di malware per PC che vengono tipicamente utilizzati in questi attacchi, esiste anche un’altra piattaforma fiorente per il ransomware: gli smartphone Android. Abbiamo avuto modo di leggere in passato di notizie relative a ransomware sia su dispositivi iOS, sia su computer Windows. Ma una nuova ricerca di Microsoft mostra che gli hacker criminali stanno investendo tempo e risorse per perfezionare i loro strumenti di ransomware mobile. Questa è la prova che questo tipo di virus porta ancora soldi agli hacker. L’ultima famiglia di Ransomware colpisce gli Android e blocca lo smartphone.
Il nuovo ransomware ha novità piuttosto interessanti da analizzare. Troviamo un nuovo meccanismo di consegna della nota di riscatto. Non mancano tecniche migliorate per evitare il rilevamento e persino un componente di apprendimento automatico. Quest’ultimo può essere utilizzato per mettere a punto l’attacco per i diversi dispositivi delle vittime. Sebbene il ransomware mobile sia in circolazione almeno dal 2014 e non sia ancora una minaccia onnipresente, potrebbe essere pronto a fare un salto più grande.
“È importante che tutti gli utenti siano consapevoli che il ransomware è ovunque e non riguarda solo i laptop. Colpisce, infatti, qualsiasi dispositivo che utilizzi e connetti a Internet“, afferma Tanmay Ganacharya, che guida il team di ricerca di Microsoft Defender. “Lo sforzo che gli aggressori compiono per compromettere il dispositivo di un utente ha come fine quello di trarne un profitto. Vanno ovunque credano di poter guadagnare di più“.
Ransomware Android blocca lo smartphone: come difendersi dal “virus”?
Il ransomware mobile può crittografare i file su un dispositivo come fa il ransomware per PC. Spesso, però, utilizza un metodo diverso. Molti attacchi implicano semplicemente tempestare l’intero schermo con una nota di ransomware che ti impedisce di fare qualsiasi altra cosa sul tuo telefono, anche dopo averlo riavviato. Gli aggressori in genere hanno abusato di un’autorizzazione Android chiamata “SYSTEM_ALERT_WINDOW” per creare una finestra di overlay che non è possibile ignorare o aggirare.
Gli scanner di sicurezza hanno iniziato a rilevare e contrassegnare le app che potrebbero produrre questo comportamento. Google, tuttavia, ha aggiunto le protezioni lo scorso anno in Android 10. In alternativa al vecchio approccio, il ransomware Android può ancora abusare delle funzionalità di accessibilità o utilizzare tecniche di mappatura per mostrare le finestre in sovrimpressione.
Come funziona il Ransomware Android
Il ransomware osservato da Microsoft, si chiama AndroidOS/MalLocker.B, e ha una strategia diversa. Richiama e manipola le notifiche destinate all’uso quando si riceve una telefonata. Ma lo schema sovrascrive il flusso tipico di una chiamata che alla fine va alla segreteria telefonica o semplicemente termina – poiché non c’è una chiamata effettiva – e invece distorce le notifiche in una sovrapposizione di richiesta di riscatto che non puoi evitare e che il sistema dà la priorità in perpetuo. Sfrutta, chiaramente, una debolezza del sistema operativo.
I ricercatori hanno anche scoperto un modulo di apprendimento automatico nei campioni di malware analizzati. Tale modulo potrebbe essere utilizzato per ridimensionare e ingrandire automaticamente una richiesta di riscatto in base alle dimensioni del display del dispositivo della vittima. Data la diversità dei telefoni Android in uso in tutto il mondo, una tale funzionalità sarebbe utile agli aggressori per garantire che la richiesta di riscatto venga visualizzata in modo chiaro e leggibile. Microsoft ha scoperto, tuttavia, che questo componente ML non è stato effettivamente attivato all’interno del ransomware e potrebbe essere ancora in fase di test per un utilizzo futuro.
Dove sono i rischi maggiori di essere infettati da Ransomware
Microsoft afferma di vedere il ransomware distribuito principalmente nei forum online e attraverso pagine Web casuali piuttosto che canali ufficiali. In genere commercializzano il malware facendolo sembrare altre app, lettori video o giochi popolari per invogliare i download. Microsoft ha condiviso la ricerca con Google prima della pubblicazione e Google ha sottolineato a WIRED che il ransomware non è stato trovato nel suo Play Store.
Assicurarti di scaricare app Android solo da app store affidabili come Google Play è il modo più semplice per evitare il ransomware mobile. Ti protegge anche da altri tipi di malware. Ma dato il successo del ransomware per PC rivolto sia alle grandi aziende che ai privati, il ransomware mobile potrebbe essere solo all’inizio.
Fonte immagine copertina: Pixabay