De afgelopen maanden zijn verschillende ransomware-exemplaren voor Android verschenen die het toestel vergrendelen of bestanden versleutelen. Gebruikers moeten vervolgens een bepaald bedrag betalen om weer toegang tot het toestel of de bestanden te krijgen.

Een nieuwe ransomware-variant die zich als virusscanner voordoet vergrendelt ook het toestel, maar is eenvoudig en zonder te betalen te verwijderen, zo meldt het Russische anti-virusbedrijf Dr. Web. De Locker-ransomware doet zich voor als een anti-virus app en laat het logo van Symantec zien. Ook is er een voortgangsbalk zichtbaar die gebruikers laat geloven dat hun toestel wordt gescand. Na enige tijd verschijnt er een waarschuwing dat er een besmet bestand is gevonden. Hierna vraagt de malware om beheerdersrechten en vergrendelt het toestel.

De waarschuwing die vervolgens verschijnt stelt dat de gebruiker de Amerikaanse wetgeving heeft overtreden wegens het bekijken van kinderporno. Om weer toegang tot het toestel te krijgen moet er een bedrag van 500 dollar worden betaald. Dit kan via een prepaid voucher van GreenDot MoneyPak. Gebruikers moeten de 14-cijferige code van de kaart op hun toestel invoeren, waarna het toestel weer ontgrendeld wordt.

De Locker-ransomware blijkt echter alleen te controleren of er 14 cijfers zijn ingevuld en het niet om voor de hand liggende reeksen zoals 0000 en 11111 gaat. Er wordt niet gecontroleerd of het echt om een MoneyPak-code gaat. Zodra 14 willekeurige cijfers zijn ingevuld worden die naar een server gestuurd en verschijnt er een pop-up waarmee de gebruiker de ransomware kan verwijderen.