Аналитики компании Symantec выявили новую модификацию вируса Android.Lockdroid.E. В ней применяется техника, свойственная десктопным зловредам, ранее не встречавшаяся на мобильных устройствах.

Ранняя версия Android.Lockdroid.E распространялась вместе с приложениями и играми для взрослых и, попав в устройство, блокировало его, зашифровывало хранящиеся на нём файлы, после чего требовало отправить злоумышленникам деньги, угрожая в случае неуплаты разослать всему списку контактов пользователя историю просмотров сайтов в его браузере. Если деньги от жертвы так и не поступали, вирус мог выполнить полный сброс устройства к заводским настройкам, уничтожив всю хранившуюся на смартфоне информацию.

Спустя год была выпущена гораздо более опасная модификация Android.Lockdroid.E — при заражении он применяет троян-дроппер, который скачивает заражённые приложения и заселяет их в системный размер. Избавиться от установленных дроппером приложений штатными средствами смартфона практически невозможно, особенно с учётом того, что экран блокируется картинкой и устройство перестаёт реагировать на нажатия кнопок.



Новая версия Android.Lockdroid.E по-прежнему распространяется через сторонние магазины приложений, спам, заражённые сайты и порно-ресурсы. Если пользователь повёлся на уловки злоумышленников и установил вредоносное приложение, вирус первым делом проверит, есть ли на смартфоне root-доступ. Его отсутствие играет на руку вымогателям — устройство блокируется, а на его экране появится сообщение с требованием выкупа и QR-код со ссылкой на реквизиты. При наличии root-доступа сценарий поведения вируса резко меняется. Приложение запрашивает дополнительные привилегии (например, для получения контента для взрослых), а затем копирует APK-файл Android.Lockdroid.E в системную папку и инициирует перезагрузку устройства, после чего вирус получает статус системного приложения, которое невозможно удалить. Затем экран блокируется, и пользователь видит сообщение о необходимости перевести деньги на счёт злодеев.

Использование QR-кода усложняет жизнь как киберпреступникам, так и жертве, поскольку для перехода по ссылке пользователю потребуется ещё один смартфон, а его может не оказаться. Даже если у пользователя будет возможность попросить его у кого-нибудь, он, возможно, постесняется это сделать, поскольку на экране показана неприличная порно-картинка. Некоторые пользователи предпочтут потерять все файлы на смартфоне, перепрошив его, чем поставить под сомнение свою целомудренность.