На раздумья — сутки. Троян Droidlock обнулит ваш смартфон в случае неуплаты выкупа
NewsMakerБаннер, таймер, адрес криптокошелька — всё в лучших традициях компьютерных вирусов-вымогателей.
Новая вредоносная программа для Android под названием Droidlock превращает заражённый смартфон в полностью подконтрольное злоумышленникам устройство. Программа блокирует экран вымогательским баннером, похищает коды блокировки приложений и получает доступ к данным, что в итоге позволяет провести полный захват системы.
По данным компании Zimperium, Droidlock распространяется через фишинговые сайты и маскируется под системное обновление. На первом этапе на устройство попадает загрузчик, который убеждает владельца установить вторичный модуль с основным вредоносным кодом. Такой подход помогает обойти ограничения Android и получить доступ к специальным возможностям устройства.
После выдачи разрешений Droidlock автоматически одобряет дополнительные полномочия, включая доступ к SMS, журналу вызовов, контактам и аудиозаписи. Вредоносная программа запрашивает права администратора устройства, что даёт возможность блокировать или стирать данные, менять PIN-код, пароль или биометрические параметры, а также без предупреждений выключать звук и делать снимки с фронтальной камеры.
Новая вредоносная программа для Android под названием Droidlock превращает заражённый смартфон в полностью подконтрольное злоумышленникам устройство. Программа блокирует экран вымогательским баннером, похищает коды блокировки приложений и получает доступ к данным, что в итоге позволяет провести полный захват системы.
По данным компании Zimperium, Droidlock распространяется через фишинговые сайты и маскируется под системное обновление. На первом этапе на устройство попадает загрузчик, который убеждает владельца установить вторичный модуль с основным вредоносным кодом. Такой подход помогает обойти ограничения Android и получить доступ к специальным возможностям устройства.
После выдачи разрешений Droidlock автоматически одобряет дополнительные полномочия, включая доступ к SMS, журналу вызовов, контактам и аудиозаписи. Вредоносная программа запрашивает права администратора устройства, что даёт возможность блокировать или стирать данные, менять PIN-код, пароль или биометрические параметры, а также без предупреждений выключать звук и делать снимки с фронтальной камеры.
Защита — это не опция. Это необходимость. Подпишитесь на нас
Обмен данными с сервером управления построен на комбинации HTTP и WebSocket. Сначала через HTTP отправляется базовая информация об устройстве для аналитики, затем с помощью WebSocket каналов Droidlock получает команды и передаёт собранные данные. Всего предусмотрено 15 типов команд для удалённого контроля.
После получения соответствующей инструкции вредоносная программа показывает на весь экран баннер через WebView. В уведомлении требуются идентификатор устройства и контакт по электронной почте, а также озвучивается угроза уничтожения файлов при отсутствии «выкупа» в течение 24 часов. Хотя Droidlock не шифрует данные, функциональность позволяет полностью очистить память смартфона, что делает угрозы вполне реальными для жертвы.
Отдельную опасность создаёт функция скрытного перехвата экрана. Droidlock работает как постоянный фоновый сервис, используя MediaProjection и VirtualDisplay для съёмки изображения дисплея. Кадры конвертируются в JPEG, кодируются в base64 и отправляются на удалённый сервер. Такой подход облегчает кражу любой конфиденциальной информации, отображаемой на экране, включая учётные записи и одноразовые коды многофакторной аутентификации. На данный момент зафиксированы атаки на пользователей в Испании, но набор возможностей Droidlock указывает на потенциал для более широкого распространения.
После получения соответствующей инструкции вредоносная программа показывает на весь экран баннер через WebView. В уведомлении требуются идентификатор устройства и контакт по электронной почте, а также озвучивается угроза уничтожения файлов при отсутствии «выкупа» в течение 24 часов. Хотя Droidlock не шифрует данные, функциональность позволяет полностью очистить память смартфона, что делает угрозы вполне реальными для жертвы.
Отдельную опасность создаёт функция скрытного перехвата экрана. Droidlock работает как постоянный фоновый сервис, используя MediaProjection и VirtualDisplay для съёмки изображения дисплея. Кадры конвертируются в JPEG, кодируются в base64 и отправляются на удалённый сервер. Такой подход облегчает кражу любой конфиденциальной информации, отображаемой на экране, включая учётные записи и одноразовые коды многофакторной аутентификации. На данный момент зафиксированы атаки на пользователей в Испании, но набор возможностей Droidlock указывает на потенциал для более широкого распространения.