Специалисты компании Symantec обнаружили нового блокировщика Android.Lockdroid.E. Малварь распространяется вместе с приложениями для взрослых и не просто блокирует экран устройства, требуя выкуп, но и угрожает в случае неуплаты разослать историю браузера всему списку контактов жертвы.

Вымогательское ПО распространяется в составе приложения «Porn ‘O’ Mania», которое можно найти только в сторонних, неофициальных магазинах контента. Сообщается, что пользователи Google Play Store в безопасности.

Наиболее интересной особенностью локера являются методы, которые он применяет, чтобы обвести пользователя вокруг пальца и заставить его установить вредоносное приложение. Так как установка любого приложения должна быть вручную одобрена владельцем устройства, малварь в последнее время идет на самые разные хитрости.

На начальном этапе установки Android.Lockdroid.E использует стандартные приемы: притворяется безобидным приложением, использует фальшивые сообщения, где описание не соответствует действительности.

Если жертва поверила и начала установку, вредонос переходит к следующей фазе: применяет технику clickjacking. Поверх модального окна, в котором приложение запрашивает привилегии администратора, выводится еще один popup. Второе окно, которое и видит пользователь, на самом деле является сообщением об ошибке (TYPE_SYSTEM_ERROR). Старые версии Android позволяют отобразить ошибку поверх всех окон и даже поверх окна, запрашивающего разрешения для приложения. Но это сообщение об ошибке выглядит как экран установки приложения, который сообщает жертве, что установка уже началась и нужно немного подождать. Затем текст меняется, появляется сообщение о том, что установка приложения успешно завершена, а также кнопка «Continue».

Figure_3_0
Фальшивое сообщение об установке приложения

Эта фейковая кнопка «Продолжить» располагается точно поверх первого окна, запрашивающего привилегии администратора и кнопки «Activate». Как только жертва нажимает «Продолжить», одновременно происходит нажатие фоновой кнопки «Activate», и вредоносное приложение получает максимальные права в системе.

figure-3-concept

Получив доступ к системе, локер начинает зашифровывать файлы пользователя, а также собирает данные о его списке контактов. Как только шифрование окончено, малварь блокирует устройство, выводя на весь экран сообщение с требованием выкупа. Чтобы требование выглядело убедительнее, Android.Lockdroid.E угрожает разослать историю браузера жертвы всем ее контактам. Похожую тактику ранее использовал вымогатель Chimera, угрожавший опубликовать все личные файлы жертв в сети.

Новый локер представляет опасность для пользователей, чьи устройства работают на базе Android ниже версии 5.0 (Lollipop). Дело в том, что именно в пятой версии была отключена возможность выводить popup поверх окна инсталляции приложений. К сожалению, старые версии Android до сих пор используют порядка 2/3 всех устройств в мире.

Фото: C_osett



2 комментария

  1. Jeffrey Davis

    28.01.2016 at 11:26

    угрожает в случае неуплаты разослать историю браузера всему списку контактов

    Кому-нибудь уже что-то приходило по сабжу?

  2. askl

    28.01.2016 at 23:08

    В каком виде он делает рассылку? в виде файла единицы смогут посмотреть, а в виде картинок/списка слишком объемно

Оставить мнение