Эксперты антивирусной компании ESET обнаружили первый вирус-шифровальщик с функцией блокировки экрана, которые атакует устройства на Android и требует выкуп за восстановление их работы. По данным аналитиков, шифратор под названием DoubleLocker построен на базе мобильного банковского трояна для Android-устройств, но у него отсутствует функционал для сбора банковских данных пользователей. Как и его предок, DoubleLocker распространяется «классическим» способом — преимущественно под видом Adobe Flash Player через скомпрометированные сайты.
«После запуска на устройстве пользователя приложение предлагает активировать вредоносную службу специальных возможностей под названием Google Play Service. Получив необходимые для работы разрешения, DoubleLocker активирует права администратора и устанавливает себя как лаунчер по умолчанию», — говорится в сообщении, опубликованном на сайте компании.
Затем DoubleLocker приступает к вымогательству денег у пользователя зараженного устройства: вирус произвольно меняет PIN-код планшета или смартфона, а также шифрует все файлы в основном хранилище устройства, используя алгоритм шифрования AES и добавляя расширение .cryeye.
Сумма выкупа, который требуют злоумышленники за восстановление работы гаджета, составляет 0,013 биткоина (около 4000 рублей). При этом в сообщении хакеров подчеркивается, что оплата должна быть произведена в течение 24 часов.
«DoubleLocker — еще одна причина установить качественное решение для безопасности мобильного устройства и регулярно создавать резервные копии», — отметил вирусный аналитик ESET Лукас Стефанко.
Напомним, по данным компании Group-IB, в период с апреля 2015-го по март 2016 года киберпреступники при помощи троянов для мобильных устройств, работающих на ОС Android, похитили со счетов в российских банках 348,6 млн рублей. По сравнению с аналогичным периодом 2014-2015 годов объем хищений средств хакерами вырос на 471%.