Novo malware DroidLock bloqueia dispositivos Android e exige pagamento de resgate – Against Invaders

Novo malware DroidLock bloqueia dispositivos Android e exige pagamento de resgate - Against Invaders

A equipe de pesquisa do zLabs identificou uma nova campanha sofisticada de ameaças direcionada a usuários espanhóis do Android por meio de uma variedade de malware chamada DroidLock.

Ao contrário do ransomware tradicional que criptografa arquivos, essa ameaça focada no Android emprega uma abordagem mais direta, bloqueando dispositivos com sobreposições no estilo ransomware e exigindo pagamento, enquanto mantém controle total sobre os aparelhos comprometidos.

O DroidLock se espalha principalmente por meio de sites de phishing que hospedam aplicativos enganosos. Uma vez instalado, o malware utiliza um processo de infecção em dois estágios, começando com um conta-gotas que engana os usuários para que instalem uma carga secundária contendo o código malicioso real.

Ao explorar serviços de acessibilidade e privilégios de administrador de dispositivos, o DroidLock consegue o controle quase completo do dispositivo, empregando 15 comandos distintos para se comunicar com sua infraestrutura de comando e controle (C2).

A cadeia de infecção começa com a engenharia social e não com a exploração técnica. O dropper se apresenta como um aplicativo legítimo, muitas vezes disfarçado de serviços populares como o Orange, para convencer os usuários a conceder permissões de instalação.

Uma vez executado, solicita aos serviços de acessibilidade um consentimento que Usuários do Android muitas vezes concedem sem compreender as implicações.

Com esse acesso concedido, o malware aprova automaticamente permissões adicionais para acesso a SMS, registros de chamadas, contatos e gravação de áudio sem interação adicional do usuário.

O malware aproveita a comunicação websocket e HTTP para se comunicar com seu C2 (servidor de comando e controle).

Essa técnica contorna as restrições de segurança padrão do Android, explorando a estrutura do serviço de acessibilidade, que foi projetada para ajudar usuários com deficiência, mas continua sendo um vetor de ataque comum para aplicativos maliciosos.

Intimidação estilo ransomware

Ao receber o comando apropriado de seu Servidor C2o DroidLock exibe uma sobreposição de WebView em tela inteira exibindo uma mensagem ameaçadora de ransomware.

A sobreposição exige contato imediato com os agentes da ameaça por e-mail, exigindo o ID do dispositivo da vítima para identificação.

Criticamente, o malware ameaça a destruição completa dos dados dentro de 24 horas se o pagamento não for recebido, criando pressão psicológica que leva as vítimas ao pagamento.

Embora esta variante de malware não criptografe arquivos como o ransomware tradicional, ela possui a capacidade técnica de limpar completamente o dispositivo, tornando a ameaça credível e alarmante para usuários comuns não familiarizados com conceitos técnicos de segurança.

O conjunto de comandos do DroidLock revela a extensão do comprometimento potencial. O malware pode bloquear dispositivos usando privilégios de administrador de dispositivos, alterar PINs e configurações de autenticação biométrica, realizar redefinições de fábrica e acessar remotamente telas de dispositivos por meio de conexões VNC.

O malware também captura imagens usando a câmera frontal, silencia o áudio e mantém recursos persistentes de gravação de tela que convertem o conteúdo capturado em conteúdo codificado em base64. Formato JPEG para exfiltração para servidores remotos.

Além disso, o DroidLock implementa mecanismos de roubo de credenciais por meio de duas técnicas distintas de sobreposição.

O primeiro apresenta telas com padrões de bloqueio falsos, enquanto o segundo usa sobreposições WebView carregadas com conteúdo HTML controlado pelo invasor que imita aplicativos bancários e de autenticação legítimos.

O malware mantém um banco de dados de aplicativos direcionados, recuperando e exibindo dinamicamente sobreposições apropriadas quando as vítimas abrem aplicativos específicos.

Implicações empresariais

Pesquisadores de segurança da Zimperium Observe que embora o DroidLock apresente recursos abrangentes de controle de dispositivos, sua plataforma Mobile Threat Defense detecta todas as amostras identificadas por meio de mecanismos de detecção dinâmica no dispositivo, operando no modo dia zero.

A sobreposição é colocada no topo ao receber o comandoBLACK_SCREEN_UPDATE_SYSTEM do servidor C2.

Para as empresas, as implicações são que dispositivos gravemente infectados podem interceptar senhas de uso único, alterar credenciais de segurança e transformar aparelhos corporativos em terminais hostis em redes gerenciadas.

A estrutura MITRE ATT&CK mapeia o DroidLock através de múltiplas táticas, desde o acesso inicial baseado em phishing até o acesso de credenciais, coleta, comando e controle e eventuais fases de impacto, demonstrando a sofisticação desta ameaça emergente para organizações dependentes de dispositivos móveis.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.