Android-вредонос Android.Lockdroid.E (далее просто Lockdroid) был обнаружен год назад экспертами компании Symantec. Все это время специалисты продолжали наблюдение за малварью, и не раз отмечали, что Lockdroid по-прежнему находится в стадии разработки и продолжает прирастать новыми функциями. К примеру, в начале февраля 2017 года исследователи обнаружили, что Lockdroid стал применять дропперы во время заражения.
Теперь эксперты Symantec пишут, что вымогатель начал применять новую технику для разблокировки зараженных устройств. Операторы малвари не только блокируют девайс окном типа SYSTEM, используют QR-коды, но и присовокупляют к вымогательскому сообщению контакт популярного в Китае мессенджера QQ. Сообщение гласит, что пострадавший должен связаться с вымогателями по указанному ID (причем делать это придется с другого устройства), обсудить условия оплаты, а после оплатить выкуп и получить четырехзначный код для разблокировки устройства.
Если все вышеописанные шаги проделаны верно, далее пользователь должен нажать на своем устройстве соответствующую кнопку и вслух произнести полученный код. Исследователи пишут, что преступники используют сторонний API для распознавания речи и эвристического анализа произнесенных слов, чтобы сравнить их с ожидаемым паролем. Если одно совпадает с другим, устройство разблокируется.
Специалисты компании обнаружили, что малварь хранит блокировочную картинку и код разблокировки в одном из Assets файлов. Используя автоматический скрипт, исследователи сумели обнаружить и извлечь код, а также выяснили, что для каждого пользователя код генерируется свой.
Ранее исследователи уже отмечали, что использование QR-кодов дополнительно усложняет пользователям выплату выкупа, так как для сканирования кода жертве понадобится другое, незараженное устройство. Теперь специалисты пишут, что вариация с QQ мессенджером и распознаванием речи ничуть не лучше, так как пострадавшему по-прежнему требуется задействовать второе устройство для разблокировки зараженного.