Троянец-вымогатель, блокирующий мобильные Android-устройства и требующий оплату за их разблокировку. Распространяется под видом системного обновления.
После запуска вредоносная программа имитирует процесс обновления, пытается получить доступ к функциям администратора мобильного устройства, удаляет свой значок с главного экрана и ждет указаний злоумышленников.
 |
 |
 |
Интерфейс управления
Управление троянцем осуществляется при помощи СМС-сообщений, содержащих следующие команды:
- set_lock – заблокировать устройство;
- set_unlock – разблокировать устройство;
- send_sms – отправить СМС-сообщение;
- send_all – отправить СМС-сообщение всем контактам из телефонной книги;
- set_admin – задает телефонный номер, на который отправляются сообщения с отчетами;
- gitler_dead – произвести самоудаление;
- set_filtr – установить фильтр для перехвата входящих сообщений;
- set_url – изменить адрес управляющего сервера на указанный в параметре команды.
Блокировка мобильного устройства
После получения команды set_lock, либо поступления директивы с управляющего сервера http://[xxx]tz.in/mod_admin/ Android.Locker.38.origin блокирует мобильное устройство сообщением с требованием выкупа.
Если владелец Android-устройства пытается отозвать у вредоносной программы права администратора, троянец блокирует экран при помощи стандартной системной блокировки режима ожидания и после его разблокировки пользователем демонстрирует ложное сообщение с угрозой удаления всех имеющихся данных.
При нажатии на кнопку ОК Android.Locker.38.origin снова переводит устройство в режим ожидания и устанавливает пароль 12345 на разблокировку экрана.
Функционал СМС-бота
Выполняя поступающие в СМС команды, троянец может произвести отправку различных сообщений, в том числе и всем имеющимся в телефонной книге контактам.
