Новый Android-вымогатель блокирует мобильные устройства

image

Теги: распространение вредоносного ПО, заражение вредоносным ПО

Новую вредоносную программу отличает способность самостоятельно устанавливать пароль на разблокировку экрана, активируя стандартную системную функцию.

Компания "Доктор Веб" обнаружила новый троянец-вымогатель Android.Locker.38.origin. Этот вирус входит в семейство вредоносных программ, блокирующих мобильные устройства пользователей и требующих выкуп за их разблокировку. Новую вредоносную программу отличает способность самостоятельно устанавливать пароль на разблокировку экрана, активируя стандартную системную функцию, сообщает "Доктор Веб". 

Троянец распространяется под видом системного обновления, после запуска запрашивает доступ к функциям администратора устройства, затем имитирует процесс установки обновления, удаляет свой значок с главного экрана, передает на удаленный сервер информацию об успешном заражении и ждет новых указаний. 

Киберпреступники отдают команду на блокировку целевого устройства либо через JSON-запрос с web-сервера, либо в виде SMS-сообщения с директивой set_lock. Устройство оказывается заблокированным, а сообщение с требованием выкупа практически невозможно закрыть. В ответ на попытку пользователя удалить троянца путем отзыва права администратора Android.Locker.38.origin задействует дополнительный уровень блокировки. В частности, он блокирует экран стандартной системной функцией, а после его разблокировки информирует об удалении всей информации из памяти устройства. 

Если выбранное действие подтверждается, троянец снова блокирует экран устройства, активирует встроенную функцию защиты паролем при выходе из ждущего режима и устанавливает в качестве пароля для разблокировки устройства свою числовую комбинацию "12345". Зараженный Android-смартфон или планшет оказывается заблокированным до получения киберпреступниками оплаты (для снятия блокировки они могут использовать управляющую команду set_unlock) или полного сброса параметров устройства. На этом вредоносное действие Android.Locker.38.origin не ограничивается: вирус способен причинить дополнительные финансовые потери, рассылая SMS-сообщения по команде злоумышленников.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus