Een nieuwe vorm van ransomware voor Android vergrendelt smartphones op zo'n manier dat het toestel onbruikbaar wordt en gebruikers de toegang tot hun data kunnen verliezen. ScarePakage, zoals de ransomware wordt genoemd, doet zich voor als bekende software zoals Adobe Flash en anti-virus apps.

Eenmaal geopend beweert de app dat het de telefoon scant, maar in werkelijkheid wordt de ransomware geïnstalleerd die de telefoon vergrendelt. Gebruikers krijgen vervolgens een melding die zogenaamd van de FBI afkomstig is en beweert dat er illegaal materiaal op de telefoon is aangetroffen. Het bericht kan niet worden verwijderd en als de gebruiker de telefoon herstart verschijnt de waarschuwing weer.

Om te voorkomen dat de telefoon kan worden gebruikt roept de ransomware een Java TimerTask aan die elke 10 milliseconden wordt uitgevoerd en alle processen uitschakelt die de gebruiker probeert te starten. Daarnaast gebruikt ScarePakage ook een Android WakeLock om te voorkomen dat de telefoon in slaapmodes gaat. De ransomware hoeft het toestel voor zijn acties niet te rooten, maar vereist wel adminrechten, zo meldt beveiligingsbedrijf Lookout.

In het geval de gebruiker de telefoon toch weet te herstarten gebruikt de ransomware een speciale klasse die de ScarePakage laadt en de waarschuwing weer laat zien. De waarschuwing vraagt een paar honderd dollar van slachtoffers, die via een MoneyPak voucher moet worden betaald. MoneyPak is vergelijkbaar met PaySafecard en uKash en wordt in de Verenigde Staten gebruikt. Om infectie te voorkomen krijgen gebruikers het advies om alleen apps te installeren van ontwikkelaars die ze kennen en vertrouwen en apps geen adminrechten te geven tenzij de gebruiker zeker weet wat hij doet.