Неуловимый Android-вымогатель

В сети обнаружен блокировщик Android, которого не видит не один антивирус. Для распространения,  зловред используется легитимное приложение «Одноклассники».

Специалист ИБ из Zscaler ThreatLabZ, выяснили, что зловред использует для своего распространения одно из легитимных приложений «Одноклассники», которое было скачано около 100 тысяч раз. Стоит отметить, что на момент написания статьи не один антивирус не смог распознать заражения, что очень печально.

О зловреде известно следующие, это вымогатель, который блокирует экран устройства и требует выкуп. Для обхода антивирусной защиты, этот вымогатель использует следующий трюк. После  того, как вымогатель попадет на ПК жертвы, он никак не проявляет себя в течение нескольких часов, что дает ему возможность обходить  методы динамического детектирования.

По истечению примерно 4-рех часов, зловред устанавливается на приложение, после чего на экране устройства появляется предложение о добавлении нового администратора устройств. Кстати. Отказаться или удалить приложение нельзя, остается только согласится на добавление, если пользователь нажмет «Активировать», экран устройства блокируется и выводится уведомление с требованием выкупа.

Уведомление составлено на русском языке, что говорит о нацеленности вымогателя на русскоязычных пользователей. В самом уведомлении говорится о том, что устройство заблокировано, за просмотр запрещенного контента, а все данные перенаправлены на некий сервер.

Для того что бы разблокировать свой смартфон и вернуть файлы, жертве предлагается оплатить штраф  в размере 500 рублей через терминал Qiwi. Оплату нужно сделать в течение 12 часов, в противном случае данные будут удалены, а всем контактам, которые находятся на заблокированном устройстве, будет отправлено сообщение, что этот телефон заблокирован за просмотр детской порнографии.

Хорошие новости.

Разобрав зловреда, исследователи выяснили, что никакие файлы с зараженного устройства никуда не передаются, а на командный сервер передается только уведомление о новом устройстве.

Платить ни в коем случае ненужно, это не решит проблему т.к кода разблокировки попросту нет, в командном сервере не реализован механизм проверки оплаты и разблокировки.

Для того что бы разблокировать заблокированный смартфон необходимо:

а) Включить устройство в Безопасном режиме (смотрите инструкцию к вашему устройству)

б) Когда устройство будет загружено в Безопасном режиме, отключите права администратора этого зловреда, после чего удалите приложение.

в) Перезагрузите устройство в нормальном режиме.