Специалисты компании Microsoft рассказали о новом Android-вымогателе AndroidOS/MalLocker.B (далее просто MalLocker), который злоупотребляет механизмами, стоящими за уведомлениями о входящих звонках и кнопкой «Домой» (Home).

Эта малварь скрывается внутри приложений, которые распространяются через различные форумы и сторонние сайты. Как и большинство мобильных вымогателей MalLocker не шифрует файлы пользователя, а просто блокирует доступ к телефону.

Проникнув на устройство, MalLocker захватывает экран, блокирует его и требует у жертвы выкуп, утверждая, что пользователь посещал сайты с детской порнографией и должен оплатить штраф. Чтобы угроза выглядела внушительнее, вредонос выдает себя за МВД РФ. Нужно отметить, что это совсем не новая тактика, а вымогатели нередко пугают пользователей правоохранительными органами.

Техническая часть MalLocker немного отличается от большинства подобных угроз. Так, вымогатели обычно злоупотребляют окном System Alert или отключают функции, которые отвечают за взаимодействие с физическими кнопками устройства.

MalLocker, в свою очередь, действует иначе. Во-первых, он злоупотребляет уведомлением о входящем звонке. Эта функция, активируется во время получения входящих вызовов и отвечает за отображение подробной информации о вызывающем абоненте. Малварь использует ее для отображения окна, которое полностью закрывает весь экран. Во-вторых, блокировщик злоупотребляет функцией onUserLeaveHint(), которая срабатывает, когда пользователь хочет перевести приложение в фоновый режим и переключиться на другое приложение. Она запускается при нажатии таких кнопок, как  Home или Recents. Вредонос использует эту функцию, чтобы записка с требованием выкупа всегда оставалась на переднем плане, не давая пользователю вернуться на домашний экран или переключиться на другое приложение.

Интересно, что данная тактика является новой и почти уникальной. Так, раньше вымогатели злоупотребляли только функциональностью кнопки Home (например, DoubleLocker), но, как правило, сочетали это с использованием Accessibility service.

Исследователи пишут, что пока код MalLocker слишком прост и явно является вредоносным, так что проникнуть в Google Play Store вымогатель не может. Однако эксперты напоминают, что пользователям стоит избегать установки приложений из сторонних источников, таких как форумы, сайты или неофициальные магазины приложений.