Обнаруженный вирусными аналитиками компании «Доктор Веб» троянец-вымогатель Android.Locker.38.origin может самостоятельно установить пароль на разблокировку экрана, задействовав для этого стандартную системную функцию. Также он способен выполнять отправку различных SMS, что может нанести потенциальной жертве еще больший финансовый ущерб, предупреждают эксперты.
Новый троянец, добавленный в вирусную базу Dr.Web под именем Android.Locker.38.origin, является представителем растущего семейства программ, блокирующих мобильные устройства пользователей и требующих выкуп за их разблокировку. Он распространяется киберпреступниками под видом системного обновления и после своего запуска запрашивает доступ к функциям администратора устройства. Далее троянец имитирует процесс установки обновления, удаляет свой значок с главного экрана, после чего передает на удаленный сервер информацию об успешном заражении и ждет дальнейших указаний.
Если пострадавший пользователь попытается удалить вымогателя, отозвав у программы права администратора, Android.Locker.38.origin задействует дополнительный уровень блокировки, отличающий его от прочих подобных Android-угроз.
Вначале троянец переводит зараженное устройство в ждущий режим, блокируя экран стандартной системной функцией. После его разблокировки он демонстрирует ложное предупреждение об удалении всей хранящейся в памяти устройства информации.
После подтверждения выбранного действия экран устройства снова блокируется, и троянец активирует встроенную в операционную систему функцию защиты паролем при выходе из ждущего режима. Вне зависимости от того, была задействована эта функция ранее или нет, троянец устанавливает на разблокировку мобильного устройства собственный пароль, и устройство окончательно блокируется до получения злоумышленниками оплаты или выполнения пользователем полного сброса параметров.