- Автор темы
- #1
Эксперты из компании Zimperium обнаружили новую Android-малварь DroidLock. Вредонос блокирует экран устройства жертвы и требует выкуп за разблокировку. Также он получает полный контроль над девайсом через VNC и доступ к SMS, логам звонков, контактам, может записывать аудио и даже стирать данные.
По данным исследователей, DroidLock нацелен на испаноязычных пользователей и распространяется через вредоносные сайты, которые маскируются под легитимные приложения. Заражение начинается с приложения-дроппера — оно обманом заставляет жертву установить основной пейлоад, который затем запрашивает права Device Admin и Accessibility Services. С такими полномочиями малварь может делать что угодно: блокировать устройство, изменять PIN, пароль или биометрию, чтобы владелец больше не мог получить доступ к своему гаджету.
DroidLock поддерживает 15 различных команд, среди которых отправка уведомлений, наложение оверлея на экран, отключение звука, сброс устройства до заводских настроек, запуск камеры и удаление приложений.
Эксперты пишут, что вымогательское окно запускается через WebView-оверлей сразу после получения соответствующего сигнала от управляющего сервера. Жертве предлагают связаться с операторами малвари по адресу на Proton Mail. Если не заплатить в течение 24 часов, злоумышленники угрожают уничтожить файлы на устройстве.
Эксперты уточняют, что DroidLock не шифрует данные — он просто угрожает их удалить, если хакеры не получат выкуп. Кроме того, злоумышленники могут заблокировать доступ к устройству, изменив код разблокировки.
Отдельно отмечается, что DroidLock способен похитить даже графический ключ (с помощью еще одного оверлея, который загружается из ресурсов вредоносного APK). Когда пользователь рисует паттерн в клонированном интерфейсе, все данные сразу передаются атакующим. Эта вредоносная функциональность используется для удаленного доступа к устройству через VNC в моменты, когда владелец им не пользуется.
Исследователи уже передали все данные о новой угрозе специалистам Android Security, поэтому защита Play Protect уже умеет обнаруживать и блокировать DroidLock на обновленных устройствах.
Специалисты напоминают, что не стоит устанавливать APK со сторонних ресурсов, если источник не вызывает доверия. Также стоит внимательно проверять, какие разрешения запрашивает приложение, и соответствуют ли они его функциям.
По данным исследователей, DroidLock нацелен на испаноязычных пользователей и распространяется через вредоносные сайты, которые маскируются под легитимные приложения. Заражение начинается с приложения-дроппера — оно обманом заставляет жертву установить основной пейлоад, который затем запрашивает права Device Admin и Accessibility Services. С такими полномочиями малварь может делать что угодно: блокировать устройство, изменять PIN, пароль или биометрию, чтобы владелец больше не мог получить доступ к своему гаджету.
DroidLock поддерживает 15 различных команд, среди которых отправка уведомлений, наложение оверлея на экран, отключение звука, сброс устройства до заводских настроек, запуск камеры и удаление приложений.
Эксперты пишут, что вымогательское окно запускается через WebView-оверлей сразу после получения соответствующего сигнала от управляющего сервера. Жертве предлагают связаться с операторами малвари по адресу на Proton Mail. Если не заплатить в течение 24 часов, злоумышленники угрожают уничтожить файлы на устройстве.
Эксперты уточняют, что DroidLock не шифрует данные — он просто угрожает их удалить, если хакеры не получат выкуп. Кроме того, злоумышленники могут заблокировать доступ к устройству, изменив код разблокировки.
Отдельно отмечается, что DroidLock способен похитить даже графический ключ (с помощью еще одного оверлея, который загружается из ресурсов вредоносного APK). Когда пользователь рисует паттерн в клонированном интерфейсе, все данные сразу передаются атакующим. Эта вредоносная функциональность используется для удаленного доступа к устройству через VNC в моменты, когда владелец им не пользуется.
Исследователи уже передали все данные о новой угрозе специалистам Android Security, поэтому защита Play Protect уже умеет обнаруживать и блокировать DroidLock на обновленных устройствах.
Специалисты напоминают, что не стоит устанавливать APK со сторонних ресурсов, если источник не вызывает доверия. Также стоит внимательно проверять, какие разрешения запрашивает приложение, и соответствуют ли они его функциям.