IT / Новости
информбезопасность
11.9.2014

Android-гаджеты атакует троян, устанавливающий пароли

Компания «Доктор Веб» обнаружила троян-вымогатель, который, помимо блокировки зараженного устройства с требованием выкупа, может самостоятельно установить пароль на разблокировку экрана.

Новый троян, добавленный в вирусную базу Dr.Web под именем Android.Locker.38.origin, является представителем растущего семейства вредоносных программ, блокирующих мобильные устройства пользователей и требующих выкуп за их разблокировку. Данный Android-вымогатель распространяется киберпреступниками под видом системного обновления и после своего запуска запрашивает доступ к функциям администратора устройства. Далее троян имитирует процесс установки обновления, удаляет свой значок с главного экрана, после чего передает на удаленный сервер информацию об успешном заражении и ждет дальнейших указаний.

Команда на блокировку устройства может быть отдана злоумышленниками как при помощи JSON-запроса с веб-сервера, так и в виде SMS-сообщения, содержащего директиву set_lock. Как и многие трояны семейства Android.Locker, Android.Locker.38.origin блокирует устройство, демонстрируя сообщение с требованием выкупа, которое практически невозможно закрыть.

Однако если пострадавший пользователь все же попытается удалить вымогателя, отозвав у вредоносной программы права администратора, Android.Locker.38.origin задействует дополнительный уровень блокировки, отличающий его от прочих подобных Android-угроз. Вначале троян переводит зараженное устройство в ждущий режим, блокируя экран стандартной системной функцией. После его разблокировки он демонстрирует ложное предупреждение об удалении всей хранящейся в памяти устройства информации.

После подтверждения выбранного действия экран устройства снова блокируется, и троян активирует встроенную в операционную систему функцию защиты паролем при выходе из ждущего режима. Вне зависимости от того, была задействована эта функция ранее или нет, вредоносная программа устанавливает на разблокировку мобильного устройства собственный пароль, состоящий из числовой комбинации «12345». Таким образом, зараженный Android-смартфон или планшет окончательно блокируется до получения злоумышленниками оплаты (блокировка может быть снята ими при помощи управляющей команды set_unlock) или выполнения пользователем полного сброса параметров устройства.

Помимо блокировки мобильных устройств, Android.Locker.38.origin также может выступать и в роли SMS-бота, выполняя по команде киберпреступников отправку различных SMS-сообщений, что может привести к дополнительным финансовым потерям.

По информации «Доктор Веб», пользователи «Антивируса Dr.Web для Android» защищены от действий данного трояна.

Еще по теме

Как научить ребенка безопасно пользоваться интернетом

Когда защиту IT-инфраструктуры можно доверить профессионалам на аутсорсинге

Что нового в разработке открытого программного обеспечения

Как создать независимую целевую IT-платформу

Зачем IT-разработчикам устраивать состязания и объединения

Почему клиенты ненавидят роботов-операторов и возможна ли идеальная автоматизация

Бизнес быстро адаптируется к новым условиям доставки и стоимости IT-оборудования

Как удержать IT-специалистов в российских компаниях

Как защитить важную инфраструктуру от вирусных атак

Промышленные предприятия индустрии ТЭК держат курс на технологический суверенитет

Тренды подготовки бакалавров в области информбезопасности

Мировые и российские тренды применения программ-вымогателей

Какие инструменты наиболее эффективно анализируют цифровую инфраструктуру

Финансирование общественно значимых проектов на онлайн-платформах набирает обороты в России и в мире

Как изменится экспорт российского ПО?