На раздумья — сутки. Троян Droidlock обнулит ваш смартфон в случае неуплаты выкупа

leer en español

Droidlock Android Zimperium zLabs вредоносное ПО вымогатель фишинг
На раздумья — сутки. Троян Droidlock обнулит ваш смартфон в случае неуплаты выкупа
Droidlock Android Zimperium zLabs вредоносное ПО вымогатель фишинг

Баннер, таймер, адрес криптокошелька — всё в лучших традициях компьютерных вирусов-вымогателей.

image

Новая вредоносная программа для Android под названием Droidlock превращает заражённый смартфон в полностью подконтрольное злоумышленникам устройство. Программа блокирует экран вымогательским баннером, похищает коды блокировки приложений и получает доступ к данным, что в итоге позволяет провести полный захват системы.

По данным компании Zimperium, Droidlock распространяется через фишинговые сайты и маскируется под системное обновление. На первом этапе на устройство попадает загрузчик, который убеждает владельца установить вторичный модуль с основным вредоносным кодом. Такой подход помогает обойти ограничения Android и получить доступ к специальным возможностям устройства.

После выдачи разрешений Droidlock автоматически одобряет дополнительные полномочия, включая доступ к SMS, журналу вызовов, контактам и аудиозаписи. Вредоносная программа запрашивает права администратора устройства, что даёт возможность блокировать или стирать данные, менять PIN-код, пароль или биометрические параметры, а также без предупреждений выключать звук и делать снимки с фронтальной камеры.

Обмен данными с сервером управления построен на комбинации HTTP и WebSocket. Сначала через HTTP отправляется базовая информация об устройстве для аналитики, затем с помощью WebSocket каналов Droidlock получает команды и передаёт собранные данные. Всего предусмотрено 15 типов команд для удалённого контроля.

После получения соответствующей инструкции вредоносная программа показывает на весь экран баннер через WebView. В уведомлении требуются идентификатор устройства и контакт по электронной почте, а также озвучивается угроза уничтожения файлов при отсутствии «выкупа» в течение 24 часов. Хотя Droidlock не шифрует данные, функциональность позволяет полностью очистить память смартфона, что делает угрозы вполне реальными для жертвы.

Отдельную опасность создаёт функция скрытного перехвата экрана. Droidlock работает как постоянный фоновый сервис, используя MediaProjection и VirtualDisplay для съёмки изображения дисплея. Кадры конвертируются в JPEG, кодируются в base64 и отправляются на удалённый сервер. Такой подход облегчает кражу любой конфиденциальной информации, отображаемой на экране, включая учётные записи и одноразовые коды многофакторной аутентификации. На данный момент зафиксированы атаки на пользователей в Испании, но набор возможностей Droidlock указывает на потенциал для более широкого распространения.