Дослідники компанії Check Point виявили нове здирницькі ПО для Android-пристроїв, що отримало назву Charger. Шкідливий був вбудований в поширювалося через Google Play додаток EnergyRescue.

Дослідники виявили Charger на мобільному пристрої співробітника одного зі своїх клієнтів. Заражена програма викрадала списки контактів і SMS-повідомлення, а також запитувала права адміністратора. Отримавши необхідні привілеї, вимагач блокував мобільний пристрій і відображав на екрані повідомлення з вимогою викупу. Розмір викупу становив 0,2 біткойнов (близько $ 180) - незвично велика сума, як для блокувальника Android-пристроїв. Для порівняння, необхідна здирником DataLust сума викупу становить $ 15.

Інфікувавши пристрій, Charger перевіряє його налаштування. Якщо пристрій належить користувачам з України, Росії або республіки Білорусь, шкідливий припиняє свою активність.

Як правило, виявляються в Google Play шкідливі програми містять лише дроппер, що завантажує на пристрій основне шкідливе ПЗ. Charger «упакований» більш щільно, що істотно полегшує його виявлення.

Тому автори вимагача взяли кілька додаткових заходів, що дозволяють йому залишатися непоміченим. Наприклад, шкідливий завантажує код з зашифрованих джерел динамічно. Сам код містить велику кількість непотрібних команд, що маскують справжні. Перш ніж почати шкідливу активність, Charger перевіряє, чи не запущений він на віртуальній машині.

Виявивши шкідливе ПЗ, дослідники Check Point негайно зв'язалися з командою безпеки Android, і заражене додаток було знешкоджено до того, як почало масово поширюватися.