Техноблог ZScaler
После открытия программа запрашивает права администратора. Затем появляется поддельная страница обновлений, которая на самом деле не устанавливает никаких апдейтов. Из своего внутреннего хранилища с помощью техники отражения вредонос загружает еще один файл APK — test.apk., который, по мнению экспертов, помогает избегать статического анализа и обнаружения.
Вредоносное ПО отсылает на удаленный сервер данные об устройстве жертвы и используемой ОС и получает от него страницу с фотографией жертвы и требованием выкупа в виде многократно зашифрованного ответа. Получив ответ от сервера, Adult Player блокирует телефон и выводит на экран страницу с требованием.
Причем приложение собирает и «прячет» собранный против пользователя компромат, а затем угрожает отправить интимные фото людям из контакт-листа.
Adult Player не позволяет выключить мобильное устройство, а требование выкупа не исчезает с экрана даже после перезагрузки смартфона. Через какое-то время, программа блокирует устройство и требует выкуп в $500 долларов за возвращение функциональности устройства.
Кроме того, даже после перевода требуемой суммы, приложение остается на телефоне, несмотря на все попытки удалить его, и, вероятно, продолжает собирать данные, отмечают эксперты. Чтобы полностью очистить смартфон, необходимо проделать ряд операций, в том числе, запустить устройство в безопасном режиме и снять с приложения права администратора.
ZScaler подробно проанализировал принцип работы программы-шпиона и способы брьбы с ним. При этом, если приложение уже установлено, то единственной надежной защитой от несанкционированной съемки остается заклеивание фронтальной камеры.
Adult Player предлагается загрузить с отдельного сайта, а не через Google Play.