Системы антивирусного ПО становятся все совершеннее. Но и разработчики malware не сидят без дела, создавая более продвинутые версии зловредного программного обеспечения для самых разных платформ и операционных систем.

Чаще всего внимание злоумышленников к определенной платформе или ОС обусловлены популярностью этих систем. Все просто — чем больше у них пользователей, тем больше шанс на удачную крупную атаку. Одна из наиболее привлекательных целей для разработчиков зловредов — Android. Корпорация Microsoft на днях опубликовала результаты исследования нового поколения malware для этой операционной системы.

Зловреды для Android? Они существуют много лет, одним больше, другим меньше


В целом, все так и есть, но malware, которое обнаружили эксперты по ИБ из Microsoft, удивляет своими возможностями. Речь идет о AndroidOS/MalLocker.B, одной из разновидностей вымогателей для Android.

Последнее его поколение способно обходить практически все системы защиты, предлагаемые рынком антивирусного ПО.

Результат работы одного из представителей семейства ransomware прежних версий

Для демонстрации сообщения, скриншот которого показан выше, зловреды использовали специальное разрешение SYSTEM_ALERT_WINDOW. Оно дает возможность приложению выводить окно с системным уровнем «допуска», благодаря чему антивирусное ПО не в состоянии противодействовать.

Разработчики Android при помощи SYSTEM_ALERT_WINDOW реализовали вывод сообщений о проблемах и ошибках в системе. Разработчики зловредного ПО при помощи «системного» сообщения показывают требование отправить деньги, причем все остальные функции устройства при этом блокируются. Довольно часто это срабатывает, и неискушенный в технологиях пользователь действительно платит.

Разработчики Android ввели в последних версиях ОС несколько изменений, которые позволяли избежать этой опасности:

  • Заменили SYSTEM_ALERT_WINDOW другими типами вызова окна сообщения об ошибках/уведомлениях.
  • Ввели запрос пользователя о разрешение использования SYSTEM_ALERT_WINDOW для разных приложений, а не всех вместе.
  • Добавили возможность деактивации окна SYSTEM_ALERT_WINDOW пользователем.

Разработчики зловредного ПО пытались адаптироваться. Например, вводили в цикл процесс отрисовки окон с требованием «выкупа». Но это не было особенно эффективным методом, поскольку пользователь мог все свернуть, зайти в настройки и удалить проблемное приложение.

Но сейчас все изменилось, разработчики зловредного ПО тоже оказались «не лыком шиты».

Что конкретно делает AndroidOS/MalLocker.B?


Зловред нового поколения взаимодействует с функцией вызова окна звонка. Закрыть окно не так просто, поскольку у него высокий приоритет. Внутри самого окна демонстрируется все тот же текст с требованием отправить деньги на кошелек злоумышленников.

Для этого используется два компонента, которые позволяют создать специальный тип уведомления, который и задействует затем окно телефонного вызова.


При этом задействуется onUserLeaveHint, функция, которая активируется при нажатии таких кнопок, как Home или Recents. Вредонос использует ее для того, чтобы не дать пользователю вернуться на домашний экран, свернуть окно с требованием выкупа или переключиться на другое приложение. Подобная тактика — в новинку, поскольку раньше вымогатели использовали DoubleLocker и сочетали ее с Accessibility service.


Еще одна новая функция ransomware — использование модуля машинного обучения, что позволяет зловреду определять необходимые размеры окна сообщения, адаптируя его под размеры экрана и другие особенности устройства. Поскольку моделей планшетов и телефонов на Android великое множество, то для ransomware это крайне полезное «умение».

Ниже показана схема работы разных видов зловредного ПО, включая представителей новейшего «семейства». Полноразмерное изображение откроется при клике.


Эксперты по ИБ предполагают, что эволюция этой ветки ransomware далека от тупика — впереди грядет еще несколько поколений с новыми функциями и возможностями.

Обход защиты и способы распространения


Разработчики AndroidOS/MalLocker.B научили свое «детище» обходить как штатную систему безопасности Google, так и сторонние антивирусные решения. Сделано это путем маскировки некоторых функций и возможностей ransomware.

Так, любое Android-приложение включает «manifest file», который содержит названия и детали всех программных компонентов. Разработчики зловредного ПО в обычной ситуации маскируют и скрывают некоторые важные компоненты. Создатели нового ransomware выбрали иной путь — они обфусцируют код, который не позволяет антивирусным приложениям обнаружить вредонос. Кроме того, файл скрывают в другой папке, так что ransomware может работать, но не показывать «истинности своих намерений».

Новый вредонос вряд ли проникнет в Google Play Store, но в сторонние каталоги приложений оно сможет попасть без особых проблем. Сейчас ransomware распространяется разработчиками на форумах, обычных веб-сайтах, сторонних каталогах приложений для Android. Здесь ничего нового, тактика киберпреступников стандартная — замаскировать зловредный софт под популярное приложение, видеоигру, плеер или еще что-то подобное.

Для предотвращения распространения зловреда Microsoft поделилась детальной информации о нем с Google — еще до того, как результаты изучения ransomware попали в паблик. Рекомендации, которые дают специалисты по ИБ пользователям, самые простые — загружать приложения из доверенных источников и не кликать по подозрительным ссылкам, включая те, что содержатся в сообщениях электронной почты.