Новое вымогательское ПО для Android маскируется под приложение «для взрослых»

Вредонос фотографирует жертву, блокирует мобильное устройство и требует выкуп.
Эксперты компании Zscaler обнаружили новый вариант вымогательского ПО для мобильной платформы Android. С целью заставить жертву загрузить и установить его, вредонос маскируется под приложения для просмотра порнографических сайтов. Как только пользователь запускает Adult Player, приложение тайно фотографирует его c помощью камеры мобильного устройства, после чего выводит полученное изображение на экран с требованием выкупа в размере $500.
После открытия программа запрашивает права администратора. Затем появляется поддельная страница обновлений, которая на самом деле не устанавливает никаких апдейтов. Из своего внутреннего хранилища с помощью техники отражения вредонос загружает еще один файл APK - test.apk. Эта техника позволяет программе модифицировать поведение объекта во время запуска, а не компиляции. По мнению экспертов, таким образом приложение избегает статического анализа и обнаружения.
Вредоносное ПО подключается к содержащимся в приложении жестко закодированным доменам hxxp://directavsecurity[.]com, hxxp://avsecurityorbit[.]com, hxxp://protectforavno[.]net и hxxp://trustedsecurityav[.]net. Adult Player отсылает на удаленный сервер данные об устройстве жертвы и используемой ОС и получает от него страницу с фотографией жертвы и требованием выкупа в виде многократно зашифрованного ответа. Получив ответ от сервера, Adult Player блокирует телефон и выводит на экран страницу с требованием.
Adult Player не позволяет выключить мобильное устройство, а требование выкупа не исчезает с экрана даже после перезагрузки смартфона. Примечательно, что злоумышленники предлагают загрузить приложение не из официального магазина Google Play, а со стороннего сайта. Установившим Adult Player пользователям рекомендуется перезапустить свое устройство в безопасном режиме.