Троянец-вымогатель с паролем на Android-устройствах

Компания «Доктор Веб» сообщила о появлении очередного троянца-вымогателя с более широким функционалом, чем у типичных вредоносных программ такого рода. Помимо блокировки зараженного устройства с требованием выкупа, троянец может самостоятельно установить пароль на разблокировку экрана, задействовав для этого стандартную системную функцию. Более того, эта программа способна отправлять различные СМС-сообщений, что может нанести жертве еще больший финансовый ущерб. Троянец добавлен в вирусную базу Dr.Web под именем Android.Locker.38.origin.

Новый Android-вымогатель распространяется под видом системного обновления и после запуска запрашивает доступ к функциям администратора устройства. Далее троянец имитирует процесс установки обновления, удаляет свой значок с главного экрана, после чего передает на удаленный сервер информацию об успешном заражении и ждет указаний. Команда на блокировку целевого устройства может быть отдана злоумышленниками как при помощи JSON-запроса с Web-сервера, так и в виде СМС-сообщения, содержащего директиву set_lock.

Android.Locker.38.origin блокирует устройство, демонстрируя сообщение с требованием выкупа, которое практически невозможно закрыть. Однако если пользователь попытается удалить программу, отозвав у нее права администратора, троянец задействует дополнительный уровень блокировки, отличающий его от подобных Android-угроз. Вначале он переводит зараженное устройство в ждущий режим, блокируя экран стандартной системной функцией. После разблокировки он демонстрирует ложное предупреждение об удалении всей информации в памяти устройства. После подтверждения выбранного действия экран устройства снова блокируется, и троянец активирует встроенную в ОС функцию защиты паролем при выходе из ждущего режима.

Вне зависимости от того, была задействована эта функция ранее или нет, вредоносная программа устанавливает на разблокировку мобильного устройства собственный пароль, состоящий из числовой комбинации «12345». Таким образом, зараженный Android-смартфон или планшет окончательно блокируется до получения злоумышленниками оплаты (блокировка может быть снята ими при помощи управляющей команды set_unlock) или полного сброса параметров устройства пользователем.