Ransomware-ul este cunoscut ca Charger şi a fost descoperit într-o aplicaţie denumită Energy Rescue, conform analizei firmei de securitate Check Point Software. Odată instalat, malware-ul fura lista de contacte şi îi făcea pe utilizatori să îi acorde drepturi de administrator. Dacă un utilizator accepta această cerere, aplicaţia bloca dispozitivul şi afişa următorul mesaj.

„Va trebui să ne plăteşti sau îţi vom vinde fragmente din datele personale pe piaţa neagră, odată la 30 de minute. Îţi garantăm 100% că toate fişierele vor fi înapoiate după efectuarea plăţii; vom debloca telefonul mobil şi vom şterge datele de pe serverul nostru. Dacă îţi închizi telefonul, o faci degeaba, deoarece datele sunt deja la noi şi le putem vinde pentru spam, fraude bancare, etc. Colectăm toate datele tale personale, informaţii despre reţele sociale, conturi bancare, date despre prieteni şi familie”.

Aplicaţia cerea o recompensă de 0,2 Bitcoin, echivalentul a 180 de dolari. Ransomware-ul a fost disponibil 4 zile în Google Play Store şi, din fericire, a fost descărcat doar de câteva ori. După descoperire, acesta a fost şters din magazin.

O analiză a arătat că Charger verifica setările locale ale unui dispozitiv şi nu executa ransomware-ul dacă dispozitivul se afla n Ucraina, Rusia sau Belarus. Acest comportament era, cel mai probabil, o încercare prin care dezvoltatorii să evite repercursiunile penale din aceste ţări.
Ransomware-ul Charger funcţionează diferit faţă de alte aplicaţii dăunătoare ce au mai fost descoperite în Magazinul Play, folosind mai multe metode pentru a se ascunde. Printre altele, acesta foloseşte cod din resurse criptate, pe care majoritatea motoarelor de detecţie nu îl pot observa. Codul este, de asemenea, plin de comenzi fără sens, care să mascheze comenzile importante ce sunt trimise.