این باج افزار پیچیده اطلاعات گوشی های اندرویدی را ربوده است

طبق گزارشی که توسط تیم تحقیقاتی Microsoft 365 Defender در 8 اکتبر منتشر شد، باج افزار تحول جدیدی را تجربه کرده است. PhoneArena نوشت: این گزارش بیان می‌کند که تیم تحقیقاتی یک باج‌افزار پیچیده اندرویدی را با «تکنیک‌ها و رفتارهای جدید» کشف کردند که «تکامل سریع تهدیدات موبایل» را نشان می‌دهد.

این باج‌افزار مخصوص موبایل که توسط Microsoft Defender برای Endpoint «به‌عنوان AndroidOS/MalLocker.B» شناسایی شد، مدتی است که در طبیعت بوده و دائماً در حال تکامل است.

MalLocker.B شناخته شده است که در وب سایت های تصادفی میزبانی می شود و از طریق انجمن های آنلاین پخش می شود و از فریب های مختلف مهندسی اجتماعی استفاده می کند. بر اساس گزارش‌ها، اغلب به‌عنوان برنامه‌های محبوب، بازی‌های کرک شده یا پخش‌کننده‌های ویدیویی پنهان می‌شود.

یکی از نسخه ها به طور خاص توجه مردم را به خود جلب کرد زیرا بدافزار پیچیده ای با “ویژگی ها و رفتار مخرب غیرقابل انکار” بود، اما موفق شد از اکثر حفاظت های موجود فرار کند و در برابر بسیاری از راه حل های امنیتی نرخ شناسایی پایینی داشت.

باج به شکل یادداشت دستورالعملی درخواست می شود که دسترسی به نمایشگر تلفن همراه شما را مسدود می کند. نسخه‌های قدیمی‌تر باج‌افزار به مجوزی به نام «SYSTEM_ALERT_WINDOW» تکیه می‌کنند که یک پنجره پاپ‌آپ را نمایش می‌دهد که نمی‌توان آن را رد یا بسته کرد.

همچنین بخوانید: هشدار باج افزار: مایکروسافت یک هشدار برای همه کاربران گوشی های اندرویدی دارد

در ابتدا برای هشدارها/خطاهای واقعی سیستم طراحی شده بود، این ویژگی مجوز توسط بازیگران بد ربوده شد و رابط کاربری توسط هکرها کنترل شد تا به جای یک بخش کوچک، کل صفحه نمایش دستگاه را بپوشاند – و کل صفحه نمایش را غیرقابل استفاده کرد. این باعث می شود قربانیان نتوانند به دستگاه خود دسترسی داشته باشند و تنها گزینه ای که دارند پرداخت هزینه است.

برای مبارزه با این، گوگل با حذف خطا و پنجره هشدار SYSTEM_ALERT_WINDOW مقابله به مثل کرد. وضعیت مجوز برای SYSTEM_ALERT_WINDOW نیز به دسته مجوزهای ویژه و از دسته “فوق خطرناک” ارتقا یافته است. این بدان معناست که به جای تنها یک کلیک، کاربران باید از “چند صفحه برای تایید برنامه هایی که درخواست مجوز می کنند” عبور می کردند.

سپس هکرها با استفاده از ویژگی‌های دسترس‌پذیری، بدافزار را توسعه دادند، اما به راحتی شناسایی شدند. این برنامه‌های آلوده به بدافزار با استفاده از اعلان «تماس» و «روش پاسخ به تماس» اندروید به توسعه خود ادامه دادند – چیزی که نیاز به توجه فوری کاربران دارد.

هکرها شروع به استفاده از ترکیبی از هر دو ویژگی برای راه اندازی یادداشت باج روی دستگاه کرده اند.

اما این داستان تکاملی هنوز تمام نشده است.

طبق گزارش تیم تحقیقاتی Microsoft 365 Defender، جدیدترین گونه‌های باج‌افزار حاوی «کدهایی هستند که از یک موتور یادگیری ماشین منبع باز جدا شده است که توسط توسعه‌دهندگان برای تغییر اندازه و برش خودکار تصاویر بر اساس اندازه صفحه استفاده می‌شود». و این یک ویژگی ارزشمند با توجه به طیف گسترده ای از دستگاه های اندرویدی است.

مدل منجمد TinyML برای اطمینان از اینکه تصاویر بدون هیچ گونه اعوجاج با صفحه نمایش دستگاه مطابقت دارند مفید است. مخصوصاً برای این باج افزار، این الگو تضمین می کند که یادداشت باج، که معمولاً یک یادداشت پلیس جعلی یا تصاویر واضحی است که ظاهراً در دستگاه یافت می شود، باورپذیرتر به نظر می رسد و در نتیجه احتمال پرداخت واقعی قربانیان را افزایش می دهد.

Tanmay Ganacharya، سرپرست تیم تحقیقاتی Defender مایکروسافت، خاطرنشان کرد که این نوع خاص از باج افزار موبایل به آنچه از حملات بدافزار آینده انتظار می رود اشاره می کند.

نکته این است که MalLocker.B به طور مداوم در حال تکامل است و هدف اصلی آن این است که پس از در دست گرفتن دستگاه یا داده های شما تا حد امکان از شما درآمد کسب کند.