Компания “Доктор Веб” обнаружила новый троянец-вымогатель Android.Locker.38.origin. Этот вирус входит в семейство вредоносных программ, блокирующих мобильные устройства пользователей и требующих выкуп за их разблокировку. Новую вредоносную программу отличает способность самостоятельно устанавливать пароль на разблокировку экрана, активируя стандартную системную функцию.
Троянец распространяется под видом системного обновления, после запуска запрашивает доступ к функциям администратора устройства, затем имитирует процесс установки обновления, удаляет свой значок с главного экрана, передает на удаленный сервер информацию об успешном заражении и ждет новых указаний.
Киберпреступники отдают команду на блокировку целевого устройства либо через JSON-запрос с web-сервера, либо в виде SMS-сообщения с директивой set_lock. Устройство оказывается заблокированным, а сообщение с требованием выкупа практически невозможно закрыть. В ответ на попытку пользователя удалить троянца путем отзыва права администратора Android.Locker.38.origin задействует дополнительный уровень блокировки. В частности, он блокирует экран стандартной системной функцией, а после его разблокировки информирует об удалении всей информации из памяти устройства.
Если выбранное действие подтверждается, троянец снова блокирует экран устройства, активирует встроенную функцию защиты паролем при выходе из ждущего режима и устанавливает в качестве пароля для разблокировки устройства свою числовую комбинацию “12345”. Зараженный Android-смартфон или планшет оказывается заблокированным до получения киберпреступниками оплаты (для снятия блокировки они могут использовать управляющую команду set_unlock) или полного сброса параметров устройства. На этом вредоносное действие Android.Locker.38.origin не ограничивается: вирус способен причинить дополнительные финансовые потери, рассылая SMS-сообщения по команде злоумышленников. (Dr.Web/NovostIT)