Android троян требует выкуп за «просмотр незаконного порно»

Исследовали обнаружили Android троян, отключающий зараженные телефоны, пока пользователь не заплатит кучу денег, чтобы избежать надуманного уголовного обвинения в просмотре незаконной порнографии.
Чтобы вызвать наибольший страх, Android-Trojan.Koler.A использует функции геолокации для адаптации предупреждений к стране проживания жертвы. Сообщение о вызове ФБР отображается на зараженных телефонах, находящихся в США. Жители Румынии и других страх увидят несколько отличающиеся предупреждения. Троян не дает пользователю получить доступ к главному экрану телефона, делая невозможным использование большинства приложений, установленных на телефоне. Нормальная работа телефона в ряде случаев восстанавливается, только когда пользователь заплатит “штраф” в размере 300 долларов с помощью не оставляющих следа механизмов платежей, таких как Paysafecard или uKash.
Koler.A был выявлен спустя 18 месяцев после того, как исследователи из Symantec установили, что требующие программы вымогают около 5 миллионов долларов в год у пользователей настольных ПК. Вредоносные программы-вымогатели выводят из строя компьютеры и требуют заплатить деньги мнимым правоохранительным органам, прежде чем работы компьютера будет восстановлена. В последнее время злоумышленники встроили сильную криптографию в вредоносную программу под названием Cryptolocker, держащую в заложниках весь жесткий диск, пока пользователь не заплатит выкуп 300 долларов в биткоин.
Функции в Koler.A были обфусцированы, чтобы замедлить процедуру анализа того, как именно работает троян. Все-таки нет признаков, что он шифрует какие-либо файлы в накопителе телефона.
Главная составляющая приложения-вымогателя – представление, остающееся поверх всех остальных приложений. Можно нажать кнопку Домой и перейти на главный экран, но таймер вернет представление вымогателя наверх через 5 секунд. Можно удалить троян врусную, быстро перейдя к приложениям и перетащив иконку на управляющий элемент Удалить, но это сработает, только если иконка приложения в первом ряду. В противнм случае не будет времени на то, чтобы перетащить иконку наверх, где расположен управляющий элемент Удалить.
Установочный пакет вымогателя автоматически загружается, когда люди посещают определенные порнографические сайты с телефона Android. Сайты утверждают, что APK устанавливает видеоплеер для премиум-доступа. Чтобы заразиться, пользователь должен поменять настройки Android, разрешив установку приложений не из маркета, и руками установить APK. Жертвами данного трюка социальной инженерии стали несколько сотен людей сов всего света.
Koler.A – очередное напоминание, что пользователи Android становятся целями тех же атак посредством троянов и социальной инженерии, что многие годы досаждали пользователям Windows и позже стали переходить на пользователей Mac. Будьте крайне бдительны при скачивании приложений Android из источников, отличных от официального магазина Google Play.