A DroidLock lecsap: androidos telefonokat zárol, váltságdíjat követel

A célpontok és a terjedés módja

A Zimperium mobilbiztonsági szakértői szerint a DroidLock főként spanyol nyelvű felhasználókat támad meg, és hamis alkalmazások segítségével terjed, amelyek valódinak álcázzák magukat különböző csaló weboldalakon. A fertőzési lánc egy úgynevezett “dropperrel” kezdődik: a felhasználót megtévesztik, hogy telepítse a kártékony kódot tartalmazó másodlagos alkalmazást.

Veszélyes engedélyek és funkciók

A rosszindulatú app egy frissítésnek álcázott kéréssel letölti és telepíti a fő kártékony modult, majd eszközadminisztrátori és akadálymentesítési engedélyeket kér – ezekkel tudja megakadályozni, hogy a tulajdonos hozzáférjen a készülékhez, valamint törölheti az adatokat. A DroidLock 15 parancsot támogat, köztük értesítések küldését, a készülék némítását, a kamera vagy az alkalmazások eltávolítását, PIN, jelszó vagy biometrikus adatok módosítását, illetve a gyári beállítások visszaállítását.

Zsarolás fenyegetésével

A váltságdíjat követelő képernyőt az alkalmazás WebView-n keresztül jeleníti meg, amikor a támadó erre utasítja. Az áldozattól azt kéri, hogy vegye fel a kapcsolatot egy Proton e-mail-címen, és 24 órán belül fizessen – ellenkező esetben véglegesen törli az adatokat. Bár a DroidLock nem titkosítja az adatokat, a hozzáférés megtagadásával éri el a zsarolóvírusok fő célját.

Védekezés és megelőzés

A Zimperium hangsúlyozza: a támadók a zárolási mintát is le tudják másolni, így még akkor is hozzáférhetnek a telefonhoz, amikor az zárolt. A Google Play App Defense Alliance tagjaként a Zimperium minden új fenyegetést megoszt az Android biztonsági csapatával, így a Play Protect már felismeri ezt a kártevőt. Az androidos felhasználóknak azt tanácsolják: csak megbízható forrásból telepítsenek APK-t, mindig ellenőrizzék a kért engedélyeket, és rendszeresen futtassanak Play Protect-vizsgálatot.

2025, adrienne, www.bleepingcomputer.com alapján