Эксперты международной антивирусной компании ESET предупредили о новом всплеске активности вымогателя Simplocker для смартфонов и планшетов на базе Android. Троян, первоначально ориентированный на пользователей из России и Украины, теперь атакует и американцев.

Simplocker — первый троян-вымогатель для Android-устройств, требующий денежный выкуп за расшифровку файлов. В первых версиях Simplocker, обнаруженных экспертами ESET, сообщение о блокировке было написано на русском языке, а сумма выкупа указывалась в гривнах. Второе поколение трояна было нацелено на англоговорящих пользователей. Доработки последних версий Simplocker указывают на то, что в центре внимания атакующих — США.

Новые модификации трояна распространяются под видом приложения «Porn Droid» и некоторых других программных продуктов. В процессе установки на пользовательское устройство Simplocker запрашивает расширенные права, причем объясняет это необходимостью защиты девайса от атак и повреждений операционной системы.

После заражения Simplocker открывает на экране инфицированного устройства веб-страницу с кадрами из порнографического видео, размещенного на сервере, который используют злоумышленники. Одновременно с этим троян пытается установить местонахождение пользователя.

Идентифицировав жертву из США, Simplocker шифрует файлы в памяти планшета или смартфона и выводит на экран «официальное сообщение» от лица ФБР. Для большей убедительности в сообщении используются снимки, сделанные фронтальной камерой зараженного устройства. Размер денежного выкупа за разблокировку составляет 100-500 долларов в зависимости от модификации трояна.

Если пользователь находится во Франции или Великобритании, он увидит страницу загрузки фальшивого антивируса. Все остальные жертвы попадают на веб-страницу с порнографическим контентом, при этом устройство не блокируется.

Эксперты ESET напоминают, что для разблокировки данных на инфицированном мобильном устройстве можно использовать бесплатное приложение ESET Simplocker Decryptor. Чтобы предотвратить заражение, стоит отказаться от установки приложений с подозрительных веб-площадок и избегать программ, которые запрашивают права администратора (device administrator).