Sorprendentemente, Microsoft ha avisado de un nuevo ransomware en Android. Una nueva cepa de ransomware que abusa de los mecanismos detrás de la notificación de «llamada entrante» y el botón «Inicio» para bloquear pantallas en los dispositivos de los usuarios. Seguramente Surface Duo tenga que ver con este interés.
Llamado AndroidOS / MalLocker.B, el ransomware está oculto dentro de las aplicaciones de Android que se ofrecen para su descarga en foros y sitios web de terceros.
MalLocker, un peligroso ransomware para Android
Al igual que la mayoría de las cepas ransomware Android, MalLocker.B en realidad no cifra los archivos de la víctima, sino que simplemente impide el acceso al resto del teléfono.
Una vez instalado, el ransomware se adueña de la pantalla del teléfono y evita que el usuario de descartar la nota de rescate – que está diseñado para parecerse a un mensaje de la aplicación de la ley local diciendo a los usuarios que cometieron un delito y necesitan pagar una multa.
Este ransomware haciéndose pasar por multas policiales falsas ha sido la forma más popular de ransomware Android durante más de media década.
A lo largo del tiempo, estas cepas de malware han aprovechado varias funciones de los sistemas operativos Android con el fin de mantener a los usuarios bloqueados en su pantalla de inicio.
Las técnicas anteriores incluían abusar de la ventana Alerta del sistema o deshabilitar las funciones que interactúan con los botones físicos del teléfono. El ransomware utiliza un mecanismo de dos partes para mostrar su nota de rescate.
La primera parte abusa de la notificación de «llamada». Esta es la función que se activa para las llamadas entrantes para mostrar detalles sobre el autor de la llamada y MalLocker.B la usa para mostrar una ventana que cubre toda el área de la pantalla con detalles sobre la llamada entrante.
La segunda parte abusa de la función «onUserLeaveHint()». Esta función se llama cuando los usuarios desean insertar una aplicación en segundo plano y cambiar a una nueva aplicación, y se desencadena al presionar botones como Inicio o Recientes. MalLocker.B abusa de esta función para llevar su nota de rescate de nuevo en primer plano y evitar que el usuario deje la nota de rescate para la pantalla de inicio u otra aplicación.
Como funciona este ransomware
El abuso de estas dos funciones es algo nuevo y nunca antes visto truco, pero ransomware que secuestra el botón de inicio se ha visto antes.
Por ejemplo, en 2017, ESET descubrió una cepa ransomware Android llamada DoubleLocker que abusó del servicio de accesibilidad para volver a activarse después de que los usuarios presionaran el botón Inicio.
Dado que MalLocker.B contiene código que es demasiado simplista y fuerte para que traspase las restricciones de la Play Store. Se recomienda a los usuarios evitar la instalación de aplicaciones Android que descargaron de ubicaciones de terceros, como foros, anuncios de sitios web o tiendas de aplicaciones de terceros no autorizados.
