Эксперты ESET обнаружили первый шифратор с функцией блокировки экрана, атакующий смартфоны и планшеты на базе Android.
Как сообщили в антивирусной компании, шифратор DoubleLocker построен на базе мобильного банковского трояна для Android-устройств. Тем не менее у него отсутствуют функции, предназначенные для сбора банковских данных пользователей. Вместо этого DoubleLocker оснащен двумя инструментами для вымогательства: он может изменить ПИН-код устройства на произвольный, а также шифрует найденные данные. Такое сочетание функций в экосистеме Android наблюдается впервые, отмечают эксперты.
DoubleLocker распространяется классическим способом, как и его предшественник — банковский троян: преимущественно под видом Adobe Flash Player через скомпрометированные сайты, следует из релиза.
«После запуска на устройстве пользователя приложение предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service. Получив необходимые для работы разрешения, DoubleLocker активирует права администратора и устанавливает себя как лаунчер (он же лончер — программа управления начальным экраном для смартфонов на базе Android и аналогичных. — Прим. Банки.ру) по умолчанию», — поясняют в ESET.
«Самоустановка в качестве лаунчера по умолчанию повышает сохранность вредоносного ПО на устройстве, — комментирует вирусный аналитик ESET Лукас Стефанко, обнаруживший DoubleLocker. — Каждый раз, когда пользователь нажимает кнопку «Домой», вымогатель активируется и снова блокирует экран планшета или смартфона».
После внедрения в устройство DoubleLocker использует два веских «аргумента», чтобы убедить пользователя заплатить выкуп, рассказывают эксперты.
Во-первых, он изменяет ПИН-код планшета или смартфона, что препятствует использованию устройства. В качестве нового ПИНа задается случайное значение, код не хранится на устройстве и не отправляется куда-либо вовне, поэтому пользователь или специалист по безопасности не сможет его восстановить.
Во-вторых, DoubleLocker шифрует все файлы в основном хранилище устройства. Он использует алгоритм шифрования AES и добавляет расширение .cryeye.
Сумма выкупа составляет 0,013 биткоина (около 4 тыс. рублей). Злоумышленники требуют совершить оплату в течение 24 часов. Если выкуп не будет перечислен, данные останутся зашифрованными.
«DoubleLocker — еще одна причина установить качественное решение для безопасности мобильного устройства и регулярно создавать резервные копии», — подчеркивает Стефанко. Продукты ESET детектируют вредоносную программу как Android/DoubleLocker, уточняется в сообщении антивирусной компании.
Источник: Banki.ru