La fantasia creativa degli hacker non conosce tregua, quando si tratta di incrementare le proprie entrate, come appena scoperto dai laboratori di sicurezza di Microsoft che, nelle scorse ore, hanno appurato l’esistenza di un nuovo virus, MalLocker.B, che sembra reinterpretare il concetto di ransomware, con nuovi strumenti, a danno degli utenti di Android.
Normalmente, un ransomware cripta i dati di un terminale compromesso, e chiede un riscatto per “liberarli” (promessa sovente non mantenuta, a fronte del pagamento incamerato in Bitcoin): MalLocker.B, pur appartenendo alla medesima categoria virale, si “limita” a tenere l’utente al di fuori del proprio smartphone, impedendogli l’accesso ai dati o alle funzioni di sistema.
La tecnica in questione, già nota agli esperti di sicurezza, in passato si basava sulla funzione “SYSTEM_ALERT_WINDOW”, che permetteva di mostrare alert su errori o avvisi di sistema: nel caso del nuovo virus, essendo state implementate delle restrizioni contro gli abusi della precedente funzione, ne sono state utilizzate altre due, differenti.
Nello specifico, MalLocker.B sfrutta inizialmente le notifiche delle chiamate in arrivo, abitualmente impiegate per mostrare a schermo intero i dettagli di chi ha chiamato o sta chiamando, nella fattispecie impiegate per palesare un finto messaggio dei servizi di sicurezza russi che, in cirillico, prospettano una multa per alcune violazioni.
In seguito, il ransomware MalLocker.B, per evitare d’essere aggirato, si avvale della funzione “onUserLeaveHint()” che, prevista da Android per consentire all’utente di passare a una nuova app mantenendo quella precedente in background semplicemente premendo Recenti od Home, in questo caso viene abusata per riportare l’utente costantemente alla schermata d’avviso, tenuta costantemente in primo piano, sovrapposta a qualsiasi altra schermata.
Secondo Microsoft, Google sarebbe in grado di rilevare il combinato uso truffaldino di queste due feature nelle app del proprio Play Store e, per questa ragione, gli hacker avrebbero diffuso MalLocker.B tramite store di terze parti, poco presidiati, o sui consueti forum o siti che offrono spesso apk premium a scrocco.