Экспертами из Symantec обнаружено вымогательское программное обеспечение для Android, которое использует для получения прав администратора невиданную доселе технику.
Кроме своей главной функции, шифрования файлов на инфицированном смартфоне, программа Android.Lockdroid.E, в случае получения повышенных привилегий, может производить блокировку устройства, смену PIN-кода, а также осуществлять удаление всех пользовательских данных, вернув заводские настройки.
Обычно пользователь сам загружает на смартфон вымогательскую программу, имитирующую не вызывающее подозрений легальное приложение. После того, как вредоносная программа установлена, устройство блокируется, а на экране появляется уведомление о том, что пользователь якобы просматривал материалы, запрещенные законом. Вымогательская программа производит шифровку всех файлов и осуществляет сбор данных о списке контактов. В уведомлении указывается, что пользователь может разблокировать устройство и восстановить свои данные, но для этого нужно заплатить выкуп.
В рамках более агрессивной криминальной схемы злоумышленники используют социальную инженерию, чтобы вынудить пользователя передать оператору вредоносной программы права администратора.
Новый Android.Lockdroid.E задействует более совершенный механизм. После того, как вредоносное приложение было установлено и запущено, на экране появляется диалоговое окно активации системы, которое скрыто за поддельным окном, в котором пользователю предлагают установить важный пакет, связанный с Google. Нажав на кнопку «Продолжить», пользователь начинает процедуру предоставления вредоносной программе прав администратора. После того, как появляется диалоговое окно «Установка завершена», Android.Lockdroid.E получает повышенные привилегии.
Проблемой затронуты все версии Android вплоть до 5.0 Lollipop. Таким образом, угроза касается 67% устройств на базе Android.