Trend Micro maakt melding van ransomware die gebruikers via valse sms'jes naar pornowebsites lokt en daar overhaalt een videobestand te downloaden. De ransomware vergrendelt het scherm en chanteert de gebruiker door te dreigen met het melden van kijken van kinderporno.
Om de dreiging extra kracht bij te zetten, activeert de ransomware de camera van de smartphone en maakt een foto van de gebruiker. Daarna chanteert de app de gebruiker met de boodschap dat het sociale netwerk en de autoriteiten geïnformeerd zullen worden over het feit dat de gebruiker kinderporno zou hebben bekeken. De teksten van de app zijn allemaal in het Russisch.
De ransomware heeft van Trend Micro de naam androidos_slocker.axbb meegekregen en zou volgens het bedrijf bij gebruikers tijdens de installatie verschillende keren de alarmbellen moeten laten rinkelen. Toch heeft Trend Micro de malware al in elf landen gedetecteerd, waarbij de meeste infecties in Rusland plaatsvinden. In welke overige landen de ransomware opgemerkt is, wordt verder niet duidelijk. Het is volgens Trend Micro waarschijnlijk slechts een kwestie van tijd voordat het nieuwe type ransomware ook de weg vindt naar andere talen. Sinds de ontdekking van de ransomware op 23 maart heeft Trend Micro 3400 infecties vastgesteld.
Om de malware te krijgen, moet de gebruiker wel vrij veel stappen doorlopen. Eerst krijgt de gebruiker een sms met een link naar een valse pornowebsite. Vervolgens klikt de gebruiker op een videolink op de pornowebsite en downloadt de gebruiker in plaats van een video een Android-app met .mp4.apk in de naam. Na het installeren van de app, moet de gebruiker op een icoon klikken om de app te activeren. Daarna vraagt de app of die de video mag installeren en vraagt om adminrechten. De begeleidende tekst is in het Russisch.
Na een reboot verschijnt het lockscreen waarop in het Russisch staat dat de telefoon vergrendeld is en dat alle persoonlijke data zijn verstuurd naar een server van de criminelen en dat de video die eerder gemaakt werd, ook geüpload is. De reden van de vergrendeling zou zijn dat de gebruiker verboden internetbronnen zou hebben bekeken, waaronder inhoud met kinderporno, verkrachting, incest, bestialiteit en homoporno.
Om de telefoon te ontgrendelen moet 1000 roebel, zo'n 13 euro, overgemaakt worden. Alle vergrendelde data zouden dan binnen acht uur van de servers van de criminelen verwijderd worden. Als de gebruiker het geld niet overmaakt binnen 12 uur dreigen de criminelen de beschuldigingen door te sturen naar alle contacten in de telefoon en naar de autoriteiten.
Volgens Trend Micro is het bang maken door te dreigen met autoriteiten een bekende manier van afpersen. Trend Micro meldt tevens dat het niet mogelijk is voor de aanvallers om de vermeend vergrendelde data te verkrijgen vanaf een vergrendelde telefoon.
Er is een lichtpuntje voor mensen met een zogenaamde non-native-Android-telefoon. Op mobiele telefoons die draaien op een Android-versie die door een fabrikant aangepast is, kan in sommige gevallen de ransomware omzeild worden door bijvoorbeeld via een herstart admin-rechten te ontnemen en vervolgens de app te verwijderen. De ransomware doet ook denken aan het 'politievirus' uit 2011.