A célpontok és a terjedés módja
A Zimperium mobilbiztonsági szakértői szerint a DroidLock főként spanyol nyelvű felhasználókat támad meg, és hamis alkalmazások segítségével terjed, amelyek valódinak álcázzák magukat különböző csaló weboldalakon. A fertőzési lánc egy úgynevezett “dropperrel” kezdődik: a felhasználót megtévesztik, hogy telepítse a kártékony kódot tartalmazó másodlagos alkalmazást.
Veszélyes engedélyek és funkciók
A rosszindulatú app egy frissítésnek álcázott kéréssel letölti és telepíti a fő kártékony modult, majd eszközadminisztrátori és akadálymentesítési engedélyeket kér – ezekkel tudja megakadályozni, hogy a tulajdonos hozzáférjen a készülékhez, valamint törölheti az adatokat. A DroidLock 15 parancsot támogat, köztük értesítések küldését, a készülék némítását, a kamera vagy az alkalmazások eltávolítását, PIN, jelszó vagy biometrikus adatok módosítását, illetve a gyári beállítások visszaállítását.
Zsarolás fenyegetésével
A váltságdíjat követelő képernyőt az alkalmazás WebView-n keresztül jeleníti meg, amikor a támadó erre utasítja. Az áldozattól azt kéri, hogy vegye fel a kapcsolatot egy Proton e-mail-címen, és 24 órán belül fizessen – ellenkező esetben véglegesen törli az adatokat. Bár a DroidLock nem titkosítja az adatokat, a hozzáférés megtagadásával éri el a zsarolóvírusok fő célját.
Védekezés és megelőzés
A Zimperium hangsúlyozza: a támadók a zárolási mintát is le tudják másolni, így még akkor is hozzáférhetnek a telefonhoz, amikor az zárolt. A Google Play App Defense Alliance tagjaként a Zimperium minden új fenyegetést megoszt az Android biztonsági csapatával, így a Play Protect már felismeri ezt a kártevőt. Az androidos felhasználóknak azt tanácsolják: csak megbízható forrásból telepítsenek APK-t, mindig ellenőrizzék a kért engedélyeket, és rendszeresen futtassanak Play Protect-vizsgálatot.
