Вымогательское ПО для Android использует кликджекинг для получения прав администратора

Эксперты компании Symantec обнаружили образец вымогательского ПО для Android, использующий для получения прав администратора совершенно новую технику. Помимо шифрования файлов на зараженном смартфоне, в случае получения повышенных привилегий Android.Lockdroid.E способен блокировать устройство, менять PIN-код и даже удалять все данные пользователя путем возвращения к заводским настройкам.

Как правило, ничего не подозревающая жертва сама загружает на смартфон вымогательское ПО, замаскированное злоумышленниками под легальное приложение. После установки вредонос блокирует устройство и выводит на экран поддельное уведомление, будто пользователь просматривал запрещенные материалы. Вымогатель шифрует все файлы и собирает данные о списке контактов. Как сообщается в уведомлении, жертва может вернуть свои файлы и разблокировать устройство, уплатив выкуп.

Более агрессивная техника подразумевает использование социальной инженерии с целью заставить пользователя предоставить вредоносной программе права администратора. До недавнего времени злоумышленники применяли диалоговое окно с ложным описанием.

Новый Android.Lockdroid.E использует более совершенную технику. После установки и запуска вредоносного приложения открывается диалоговое окно активации системы, скрытое за поддельным окном «Установка пакетов». Нажатие на кнопку «Продолжить» якобы для установки связанного с Google важного пакета – первый шаг при предоставлении вредоносу прав администратора. После появления диалогового окна «Установка завершена» Android.Lockdroid.E получает повышенные привилегии.

Проблема затрагивает Android до версии 5.0 Lollipop, то есть в зоне риска находятся 67% от всех Android-устройств.