Um novo malware para Android, chamado DroidLock, foi identificado e pode bloquear a tela das vítimas para exigir resgate, além de acessar mensagens de texto, registros de chamadas, contatos, gravações de áudio e até apagar dados do dispositivo.
O DroidLock permite que o atacante assuma controle total do aparelho por meio do sistema de compartilhamento VNC e consegue roubar o padrão de bloqueio da tela utilizando um overlay sobreposto na interface.
De acordo com pesquisadores da empresa de segurança móvel Zimperium, o malware está direcionado a usuários de língua espanhola e é disseminado por sites maliciosos que promovem aplicativos falsos, imitando pacotes legítimos.
Em relatório divulgado hoje, a Zimperium explica que a infecção começa com um dropper que engana o usuário para instalar um segundo payload, que contém o malware propriamente dito.
Os apps maliciosos inserem o payload principal por meio de uma solicitação de atualização e logo solicitam permissões de Device Admin e Accessibility Services, que permitem a execução de diversas ações fraudulentas.
Entre as funções do DroidLock estão apagar dados do dispositivo, bloqueá-lo, alterar o PIN, a senha ou dados biométricos, impedindo o acesso legítimo do usuário.
A análise da Zimperium revelou que o malware responde a 15 comandos diferentes, permitindo enviar notificações, exibir overlays na tela, silenciar o aparelho, reiniciá-lo para as configurações de fábrica, ativar a câmera e desinstalar aplicativos.
O overlay de ransomware aparece via WebView assim que o comando correspondente é recebido, instruindo a vítima a contatar o criminoso por um e-mail Proton.
Caso o resgate não seja pago em 24 horas, o atacante ameaça destruir permanentemente os arquivos.
A Zimperium esclarece que o DroidLock não criptografa os arquivos, mas a ameaça de destruição tem o mesmo efeito coercitivo.
Além disso, o invasor pode bloquear o acesso ao dispositivo alterando o código de desbloqueio.
O malware é capaz de capturar o padrão de bloqueio usando outro overlay carregado diretamente dos recursos do APK malicioso.
Assim, quando o usuário desenha o padrão na interface clonada, ele é transmitido ao atacante, permitindo acesso remoto via VNC durante períodos de inatividade.
Como membro da Google App Defense Alliance, a Zimperium compartilha essas descobertas com a equipe de segurança do Android, para que o Play Protect identifique e bloqueie essa ameaça em dispositivos atualizados.
Usuários de Android são orientados a não instalar APKs fora da Google Play, exceto se a fonte for confiável.
Também é recomendável verificar se as permissões solicitadas por um app condizem com suas funções e realizar varreduras periódicas com o Play Protect.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...