Специалисты компании Microsoft рассказали о новом Android-вымогателе AndroidOS/MalLocker.B (далее просто MalLocker), который злоупотребляет механизмами, стоящими за уведомлениями о входящих звонках и кнопкой «Домой» (Home).

Эта малварь скрывается внутри приложений, которые распространяются через различные форумы и сторонние сайты. Как и большинство мобильных вымогателей MalLocker не шифрует файлы пользователя, а просто блокирует доступ к телефону.

Проникнув на устройство, MalLocker захватывает экран, блокирует его и требует у жертвы выкуп, утверждая, что пользователь посещал сайты с детской порнографией и должен оплатить штраф. Чтобы угроза выглядела внушительнее, вредонос выдает себя за МВД РФ. Нужно отметить, что это совсем не новая тактика, а вымогатели нередко пугают пользователей правоохранительными органами.

Техническая часть MalLocker немного отличается от большинства подобных угроз. Так, вымогатели обычно злоупотребляют окном System Alert или отключают функции, которые отвечают за взаимодействие с физическими кнопками устройства.

MalLocker, в свою очередь, действует иначе. Во-первых, он злоупотребляет уведомлением о входящем звонке. Эта функция, активируется во время получения входящих вызовов и отвечает за отображение подробной информации о вызывающем абоненте. Малварь использует ее для отображения окна, которое полностью закрывает весь экран. Во-вторых, блокировщик злоупотребляет функцией onUserLeaveHint(), которая срабатывает, когда пользователь хочет перевести приложение в фоновый режим и переключиться на другое приложение. Она запускается при нажатии таких кнопок, как  Home или Recents. Вредонос использует эту функцию, чтобы записка с требованием выкупа всегда оставалась на переднем плане, не давая пользователю вернуться на домашний экран или переключиться на другое приложение.

Интересно, что данная тактика является новой и почти уникальной. Так, раньше вымогатели злоупотребляли только функциональностью кнопки Home (например, DoubleLocker), но, как правило, сочетали это с использованием Accessibility service.

Исследователи пишут, что пока код MalLocker слишком прост и явно является вредоносным, так что проникнуть в Google Play Store вымогатель не может. Однако эксперты напоминают, что пользователям стоит избегать установки приложений из сторонних источников, таких как форумы, сайты или неофициальные магазины приложений.

5 комментариев

  1. Аватар

    miradmin

    09.10.2020 в 18:28

    «…вредонос выдает себя за МВД РФ…»
    А что, вымогателей поймали и осудили? Почему MS уверена, что это не реальные представители МВД РФ?

    • Аватар

      phtimofeeff

      09.10.2020 в 20:10

      все просто…
      КНБ РФ не существует.
      и скорее всего эту вирусяку вояли Казахские детишки.
      КНБ есть тока в Казахстане, ну а дети, потому что они не в курсе что в России этот называется иначе.

  2. Аватар

    0d8bc7

    09.10.2020 в 18:40

    «Однако эксперты напоминают, что пользователям стоит избегать установки приложений из сторонних источников, таких как форумы, сайты или неофициальные магазины приложений.» — Предложение в принципе логичное, но, с другой стороны, почему бы просто не позволить всем необходимым пользователю (и не содержащим реальных угроз для него!) приложениям существовать внутри экосистемы Google Play Store? 🤔

  3. Аватар

    roman313

    14.10.2020 в 15:01

    А может, они там и работают?

Оставить мнение