最新版本的MalLocker Android勒索软件的新功能

此前，微软表示，与大多数此类移动恶意软件一样，新的恶意软件不会加密数据，而是试图使受感染的系统无法使用。

微软的安全研究人员发现了一个危险的新版本MalLocker，它是一个不断发展的Android勒索软件系列，至少从2014年起就开始泛滥。

新版本的显着之处在于，它如何体现出对受感染设备的勒索需求，并且集成了一个开源机器学习模块，用于根据上下文感知来勒索赎金票据，具体取决于屏幕大小。MalLocker的最新变体还使用一种新的混淆方法来阻碍代码分析并逃避反恶意软件工具的检测。

微软在本周的一份报告中将MalLocker描述为通过任意网站和在线论坛分发，或者隐藏在移动设备的流行应用和视频播放器中。像许多其他Android勒索软件变体一样，新的MalLocker实际上并未加密受感染设备上的数据。相反，它试图通过在每个窗口上显示赎金记录来阻止用户使用受感染的设备。不管用户单击什么按钮，赎金记录都将保留在所有其他窗口的顶部。

新的MalLocker变体的不同之处在于它实现此持久性的方式。以前的Android勒索软件工具利用操作系统中的系统警报功能来显示勒索软件注释。微软表示，由于谷歌已经实施了某些平台级的改变来阻止这种滥用，所以现在变得几乎不可能。

相反，新变体滥用了最新版本的Android中提供的其他两个功能。据微软安全研究人员表示：“首先，它把通知设置为非常重要的通知，需要用户立即注意，该通知被连线以弹出赎金通知。”

其次，恶意软件旨在确保在用户尝试执行其他活动或执行其他功能时始终显示此通知。它通过使用回调来实现，这是函数相互之间传递一段代码的一种方式。

在Android上，回调是一种功能让另一种功能知道某个操作（例如用户按下“主页”按钮的操作）已完成的方法。MalLocker的新版本旨在利用回调方法来了解用户何时可能已完成特定操作，以便它可以立即显示赎金记录。这意味着无论用户做什么，勒索软件的通知都会一直显示，从而有效地阻止了用户执行任何其他操作。

此外，新版的MalLocker还集成了一个开源的机器学习模块，该模块可以让它知道受感染设备的屏幕大小，因此可以自动调整大小并裁剪赎金记录以适应它而不会变形。

微软表示，新的Android恶意软件的混淆策略也值得注意。恶意软件作者对有效载荷进行加密和隐藏的方式，使用的解密例程以及故意引入的大量垃圾代码的存在，都使恶意软件难以分析和检测。被感染设备的用户可以尝试以安全模式重启系统，然后卸载恶意软件。