Нов вирус за Android заключва смартфони и иска откуп

След като станахме свидетели как първите вируси от семейството ransomware (зловреден код, изискващ откуп) комбинираха фалшив антивирус със способността си да заключват екрана на устройството (например Android Defender), преди по-малко от година се появи и Simplocker - първият вирус за Android, който действително криптираше файлове. Сега е ред на новото поколение - първият познат ransomware вирус за Android, който заключва екрана и променя ПИН кода за защита на устройството.

В предишни версии на това семейство вируси, заключването на екрана се осъществяваше като постоянно се показваше прозорец, подаден от самия вирус. В този си вид, не беше твърде трудно потребителят да се отърве от зловредния код, като например отключи устройството с Android Debug Bridge или деактивира администраторските права и деинсталира зловредното приложение в Safe Mode.

За съжаление, създателите на зловреден код са направили крачка напред и новите форми на вируса, наречен Android/Lockerpin.А от ESET, не позволява на потребителя да си върне достъпа до устройството така лесно.

Как работи вируса

След успешна инсталация, зловредният код придобива администраторски права над устройството. Този трик се използва все повече от създателите на вируси за Android, тъй като това прави премахването на заразата много по-трудно. В предишните форми на това семейство вируси, хакерите разчитаха на потребителите доброволно да разрешат тази манипулация.

Този път „овладяването“ на устройството е доста по-прикрито. Активационния прозорец е покрит с троянски зловреден прозорец, който претендира, че е ъпдейт на операционната система. В момента, в който потребителя кликне на невинно-изглеждащата инсталация, той активира и администраторските привилегии в скрития прозорец отдолу.

След като, макар и несъзнателно, потребителят е дал права за администраторски достъп до устройството, зловредният код настройва нов ПИН код на телефона или таблета. Не след дълго идва и съобщението за искания откуп. Той е 500 американски долара, а причината е „гледане и съхраняване на забранени порнографски материали“.

След съобщението, екранът се заключва по обичайния за този тип вируси начин. В този момент, потребителя може да деинсталира Android/Lockerpin.A или през SafeMode или чрез Android Debug Bridge. Така обаче, нито собственика на устройството, нито кибер престъпника може да отключи устройството, защото ПИН кода се генерира автоматично и не се изпраща до атакуващия. Единственият начин да се отървеш от вируса е да възстановиш телефона или таблета до фабричните му настройки (т. нар. ресет).

Самозащита

Зловредният код поддържа и добър набор от инструменти за самозащита. Например: ако потребителят се опита да изключи администраторския достъп на зловредния код ще остане разочарован, защото вирусът има инсталирана специална програма, забраняваща премахването им.

Освен това, зловредният код забранява и процеси свързани с опити за инсталация на антивирусен софтуер. Така например, ако потребителя се опита да инсталира ESET Mobile Security или други решения за мобилна сигурност, той ще бъде спрян.

Добрата новина е, че ако потребителя е инсталирал решение за сигурност предварително, то зловредният код не би оцелял.