La variante viene de otro ransomware que afecta a Android y está denominado como ‘MaiLocker.B’ y que ahora viene con nuevas técnicas de infección y ocultación.
Este malware suele propagarse por foros de internet y a través de ingeniería social se hace pasar por aplicaciones populares, cracks de juegos, etc.
En versiones anteriores este malware utilizaba el permiso ‘SYSTEM_ALERT_WINDOW’ para mostrar la pantalla de notificaciones para pedir un rescate de forma persistente. Después de que este comportamiento fuera detectado por los motores antivirus, los atacantes han conseguido realizar el mismo comportamiento utilizando otras vías. A continuación se muestra una captura de parte del código utilizado por el malware.
Ahora en lugar de utilizar la ventana de notificaciones, utiliza la ventana de llamadas entrantes para, junto con las pulsaciones de pantalla, activar esta ventana de rescate.
Además de este método innovador, Microsoft también observó comportamientos de aprendizaje automático, que todavía no saben si está siendo utilizado de forma activa por esta variante o será utilizada por futuras actualizaciones de la muestra.