Специалисты компании Microsoft рассказали о новом Android-вымогателе AndroidOS/MalLocker.B (далее просто
MalLocker), который злоупотребляет механизмами, стоящими за
уведомлениями о входящих звонках и кнопкой «Домой» (Home).
Эта малварь скрывается внутри приложений, которые распространяются
через различные форумы и сторонние сайты. Как и большинство мобильных
вымогателей MalLocker не шифрует файлы пользователя, а просто блокирует
доступ к телефону.
Проникнув на устройство, MalLocker захватывает экран, блокирует его и
требует у жертвы выкуп, утверждая, что пользователь посещал сайты с
детской порнографией и должен оплатить штраф. Чтобы угроза выглядела
внушительнее, вредонос выдает себя за МВД РФ. Нужно отметить, что это
совсем не новая тактика, а вымогатели нередко пугают пользователей
правоохранительными органами.

Техническая часть MalLocker немного отличается от большинства
подобных угроз. Так, вымогатели обычно злоупотребляют окном System
Alert или отключают функции, которые отвечают за взаимодействие с
физическими кнопками устройства.
MalLocker, в свою очередь, действует иначе. Во-первых, он
злоупотребляет уведомлением о входящем звонке. Эта функция, активируется
во время получения входящих вызовов и отвечает за отображение подробной
информации о вызывающем абоненте. Малварь использует ее для отображения
окна, которое полностью закрывает весь экран. Во-вторых, блокировщик
злоупотребляет функцией onUserLeaveHint(), которая срабатывает, когда
пользователь хочет перевести приложение в фоновый режим и переключиться
на другое приложение. Она запускается при нажатии таких кнопок, как
Home или Recents. Вредонос использует эту функцию, чтобы записка с
требованием выкупа всегда оставалась на переднем плане, не давая
пользователю вернуться на домашний экран или переключиться на другое
приложение.
Интересно, что данная тактика является новой и почти уникальной. Так,
раньше вымогатели злоупотребляли только функциональностью кнопки Home
(например, DoubleLocker), но, как правило, сочетали это с использованием Accessibility service.
Исследователи пишут, что пока код MalLocker слишком прост и явно
является вредоносным, так что проникнуть в Google Play Store вымогатель
не может. Однако эксперты напоминают, что пользователям стоит избегать
установки приложений из сторонних источников, таких как форумы, сайты
или неофициальные магазины приложений.