Исследователи безопасности Symantec предупреждают о том, что тактика использования дропперов для заражения вымогателями теперь применяется и для заражения Android-устройств. Несмотря на то, что эта схема довольно часто используется в случае с заражением десктопных компьютеров, для заражения Android-устройств она еще не применялась. Исследователи говорят, что злоумышленники внедрили технику QR-кодов для получения выкупа от жертв, но малоэффективно ее реализовали.
Вымогатель Lockdroid был обнаружен около года назад, он разработан для шифрования файлов пользователей и другой вредоносной активности. Попав в систему, вредонос запрашивает на устройстве права администратора. Если вымогатель получает эти права, он может заблокировать устройство, мешать пользователю удалить его и даже восстановить на устройстве заводские настройки, что приведет к удалению всех пользовательских файлов.
Android.Lockdroid.E распространяется через приложения сторонних разработчиков и с помощью текстовых сообщений и сообщений на форуме. первая версия вредоноса пыталась заразить устройства, прошедшие через и заблокировать не прошедшие эту процедуру устройства.
Первым делом Android.Lockdroid.E проверяет, прошло ли устройство процесс получения прав суперпользователя root, если да, вредонос запрашивает права администратора в системе. Чтобы заставить пользователя предоставить ему эти права, вымогатель будет пытаться убедить его, что это поможет получить доступ к тысячам фильмов для взрослых бесплатно.
После получения прав администратора, вредоносная программа копирует себя в директорию /system/app/[ИМЯ ВРЕДОНОСА].apk, присваивая APK-файлу статус исполняемого, и перезагружает устройство. Таким образом, вредонос будет запускаться при каждом старте системы как системное приложение.
После перезагрузки вредоносную программу уже будет сложно удалить с устройства, так как она получила статус системного приложения. Как только установка завершена, Android.Lockdroid.E блокирует устройство и отображает записку с требованиями выкупа и QR-код.
