Антивирусные эксперты фиксируют рост числа модификаций троянов-блокировщиков, заражающих мобильные Android-устройства. Большинство распространяемых ими вредоносных программ действует по уже отработанной схеме: после запуска они блокируют зараженные устройства и требуют оплату за разблокировку. Однако, очередной троян-вымогатель Android.Locker.38.origin обладает более широким функционалом. Данный Android-вымогатель распространяется под видом системного обновления и после своего запуска запрашивает доступ к функциям администратора устройства. Затем, троян имитирует процесс установки обновления, удаляет свой значок с главного экрана, после чего передает на удаленный сервер информацию об успешном заражении и ждет дальнейших указаний. Команда на блокировку целевого устройства может быть отдана злоумышленниками как при помощи JSON-запроса с веб-сервера, так и в виде SMS-сообщения, содержащего директиву "set_lock". Как и многие трояны семейства Android.Locker, Android.Locker.38.origin блокирует устройство, демонстрируя сообщение с требованием выкупа, которое практически невозможно закрыть. Однако если пострадавший пользователь все же попытается удалить вымогателя, отозвав у вредоносной программы права администратора, Android.Locker.38.origin задействует дополнительный уровень блокировки, отличающий его от прочих подобных Android-угроз. Вначале, троян переводит зараженное устройство в ждущий режим, блокируя экран стандартной системной функцией. После разблокировки он демонстрирует ложное предупреждение об удалении всей хранящейся в памяти устройства информации. После подтверждения выбранного действия экран устройства снова блокируется, и троян активирует встроенную в операционную систему функцию защиты паролем при выходе из ждущего режима. Вне зависимости от того, была задействована эта функция ранее или нет, вредоносная программа устанавливает на разблокирование мобильного устройства собственный пароль, состоящий из числовой комбинации «12345». Таким образом, зараженный Android-смартфон или планшет окончательно блокируется до получения злоумышленниками оплаты (блокировка может быть снята ими при помощи управляющей команды "set_unlock") или выполнения пользователем полного сброса параметров устройства. Помимо блокировки мобильных устройств, Android.Locker.38.origin также может выступать и в роли SMS-бота, выполняя по команде кибер-преступников отправку различных SMS-сообщений, что может привести к дополнительным финансовым потерям. Специалисты рекомендуют внимательнее относиться к приложениям, устанавливаемым на мобильные устройства, если их источник распространения, производитель или назначение, в сопоставление с правами доступа, вызывает сомнения у пользователя.
Источник