尽管勒索软件已经存在了多年，但它对医院，市政府以及基本上任何不能容忍停机的机构构成了越来越大的威胁。但是，除了通常在这些攻击中使用的各种PC恶意软件外，勒索软件还有一个新兴的平台：Android手机。微软的最新研究表明，黑客正在投入时间和资源来完善其移动勒索软件工具，这表明他们的攻击正在产生收益。

该发现于周四发布，该发现是在移动设备上使用Microsoft Defender进行检测的，它着眼于已知的Android勒索软件系列的变体，该变体增加了一些巧妙的技巧。其中包括新的赎金通知传递机制，改进的避免检测技术，甚至包括可用于微调针对不同受害者设备的攻击的机器学习组件。尽管移动勒索软件至少从2014年就已经存在并且仍然不是普遍存在的威胁，但它可能会迈出更大的一步。

微软Defender研究团队的负责人Tanmay Ganacharya说：“重要的是，所有用户都必须知道勒索软件无处不在，不仅对于您的笔记本电脑，而且还对您使用和连接到Internet的任何设备都是如此。” “攻击者为破坏用户设备所做的努力–其目的是从中获利。他们走到了他们认为可以赚钱最多的地方。”

移动勒索软件可以像PC勒索软件一样对设备上的文件进行加密 ，但是它通常使用不同的方法。许多攻击仅涉及在整个屏幕上贴上勒索软件注释，即使重新启动后，它也可能阻止您在手机上进行任何其他操作。攻击者通常滥用名为“ SYSTEM_ALERT_WINDOW”的Android权限来创建您无法关闭或规避的覆盖窗口。但是，安全扫描程序开始检测并标记可能产生此行为的应用程序，并且Google去年在Android 10中增加了针对它的保护措施。作为旧方法的替代方法，Android勒索软件仍然可以滥用辅助功能或使用映射技术来绘制和重新绘制覆盖窗口。

微软观察到的勒索软件(称为AndroidOS / MalLocker.B)具有不同的策略。当您接到电话时，它会调用和处理要使用的通知。但是，该方案会覆盖最终进入语音邮件或只是结束的典型呼叫流程(因为没有实际呼叫)，而是将通知扭曲为无法避免的赎金票据覆盖，并且系统将永久性置于优先地位。

研究人员还在他们分析的恶意软件样本中发现了一个机器学习模块，该模块可用于根据受害者设备显示的大小自动调整和缩放赎金记录。考虑到全球使用的Android手机的多样性，此功能对于攻击者来说非常有用，可确保赎罪通知清晰清晰地显示。但是，微软发现该ML组件实际上并未在勒索软件中激活，并且可能仍在测试中以备将来使用。

“改名”

为了逃避谷歌自身安全系统或其他移动扫描仪的检测，微软研究人员发现勒索软件旨在掩盖其功能和目的。每个Android应用程序都必须包含一个“清单文件”，其中包含其软件组件的名称和详细信息，例如列出所有乘客，船员和货物的船舱清单。但是清单文件中的畸变通常是恶意软件的指示，勒索软件开发人员设法在其许多部分遗漏了代码。取而代之的是，他们对该代码进行加密，以使其更难评估并将其隐藏在另一个文件夹中，因此勒索软件仍然可以运行，但不会立即显示其恶意。黑客还使用了其他技术，包括微软所谓的“名称修改”，

Microsoft Defender的Ganacharya说：“这个特殊的威胁家族已经存在了一段时间，并且它已经使用了许多技术来折衷用户，但是我们在这里看到的是它没有达到我们的预期或过去所做的事情。” 。

微软表示，它认为勒索软件主要是由攻击者通过在线论坛，通过随机网页而非官方渠道分发的。他们通常通过使其看起来像其他流行的应用程序，视频播放器或游戏来诱使下载，来销售该恶意软件。尽管有一些iOS勒索软件的早期 示例，但这种情况仍然不那么常见-类似于Mac勒索软件仍然相对罕见的方式。微软在发布之前与谷歌共享了这项研究，谷歌向《连线》杂志强调说，勒索软件未在其Play商店中找到。

确保仅从可信任的应用商店(例如Google Play)下载Android应用是避免移动勒索软件并保护自己免受各种其他恶意软件攻击的最简单方法。但是，鉴于PC勒索软件针对大企业和个人的成功，移动勒索软件可能才刚刚起步。