Viruset sprids via webbsidor som distribuerar falska versioner av Adobe Flash Player, uppger säkerhetsföretaget Eset som upptäckt Doublelocker.
– Payloaden kan ändra enhetens pin och stoppa användaren från att komma åt enheten, och kryptera offrets data. Den kombinationen har aldrig skådats i Androids ekosystem förut, säger Eset-forskaren Lukáš Štefanko i en intervju med The Register.
När en användare försöker installera den falska Flash Player-appen ber den om åtkomst till en rad funktioner. Bland annat vill viruset använda tillgänglighetsverktygen i Android, och använder dem för att ersätta hemknappen på mobilen eller surfplattan.
Det betyder att varje gång användaren trycker på hemknappen aktiveras viruset, och enheten blir både krypterad och låst med en slumpgenererad pin-kod.
Läs också: Efter leveransproblemen – nu får 400 gå från Tesla
Doublelocker verkar vara en utveckling av trojanen Android.Bankbot.211.origin som använts för att stjäla inloggningsuppgifter till turkiska bankkonton. Därför finns det anledning att oroa sig för att hackarna bakom Doublelocker skulle kunna lägga till funktioner för att dessutom stjäla inloggningsuppgifter, menar Eset.
För de flesta användare betyder Doublelocker tyvärr att filerna är borta, så länge man inte betalar lösesumman på runt 500 kronor och hoppas att det är ärliga banditer bakom appen.
Det går dock att ta tillbaka kontrollen om mobilen är satt i debuggläge innan den blir angripen av viruset, skriver Eset. I så fall kan du ansluta enheten till en dator och ta bort systemfilerna där Doublelocker sparat lösenordet och på så vis kunna låsa upp mobilen eller surfplattan och sedan radera viruset. Men att återskapa de krypterade filerna kan ändå bli svårt.
