Le Trojan-extorqueur qui bloque l'appareil mobile sous Android et demande une rançon pour le déblocage. Cette menace est distribuée sous couvert de logiciels antivirus.
Lors du lancement, le Trojan imite le scan antivirus, qui identifie 17 menaces.
Avant de bloquer l'appareil mobile infecté, Android.Locker.27.origin demande les droits administrateur du dispositif.
Puis le Trojan bloque l'appareil mobile en affichant une notification sur une soi-disant grave violation de la loi et demande une rançon de 500 $ et le code de carte prépayée GreenDot MoneyPak.
 |
 |
 |
Si la victime essaie de fermer ce message en appuyant par exemple sur le bouton " Accueil ", Android.Locker.27.origin demande encore une fois les droits administrateur (si la tentative précédente a échoué) et l'appareil sera de nouveau bloqué.
Les exigences du malfaiteur pour le code saisi :
- il ne doit pas représenter une combinaison simple, telle que « 00000 », « 11111 », « 22222 », « 33333 », « 44444 », « 55555 », « 66666 », « 77777 », « 88888 », « 99999 », « 12345
Si ces exigences sont remplies et que l’appareil est connecté à Internet, Android.Locker.27.origin envoie le code saisi au serveur http://welcome[xxxxx].com/i2s9a2jx/api.php, puis se supprime de la liste des administrateurs de l'appareil (s'il a eu ces droits) et lance sa désinstallation.
Sinon, il affiche un message d’erreur et l'appareil reste bloqué.
Ainsi, les utilisateurs concernés peuvent facilement et sans s’acquitter de la rançon, déverrouiller l'appareil en entrant une combinaison de 14 chiffres que ne correspond pas à celles énumérées ci-dessus.
