Novo malware DroidLock bloqueia celulares Android e exige resgate para liberar acesso

Um novo malware direcionado a dispositivos Android, identificado como DroidLock, foi descoberto por pesquisadores da Zimperium. A ameaça é capaz de bloquear a tela do aparelho, exigir pagamento de resgate e acessar informações sensíveis como mensagens de texto, registros de chamadas, contatos, gravações de áudio e até mesmo apagar todos os dados armazenados no dispositivo.

Segundo a análise, o DroidLock permite que o invasor assuma controle total do celular por meio do sistema de compartilhamento VNC, além de capturar o padrão de desbloqueio utilizando uma camada falsa sobre a tela. A campanha tem como alvo principal usuários de língua espanhola e é distribuída por meio de sites maliciosos que promovem aplicativos falsos, criados para se passar por apps legítimos.

A infecção começa com um dropper, que engana o usuário para instalar um segundo componente este, sim, contendo o malware principal. Após a instalação, o aplicativo solicita permissões de Administrador do Dispositivo e Serviços de Acessibilidade, que permitem realizar ações abusivas como bloquear o aparelho, redefinir PIN e senha, alterar dados biométricos e até impedir completamente o acesso do dono legítimo.

Os pesquisadores identificaram que o DroidLock possui 15 comandos diferentes, possibilitando ações como limpar todos os dados, iniciar a câmera, silenciar o dispositivo, exibir sobreposições falsas, redefinir para as configurações de fábrica e desinstalar aplicativos. Quando o comando de extorsão é acionado, o ransomware exibe uma tela via WebView instruindo o usuário a contatar o hacker por um e-mail Proton. A ameaça inclui um ultimato: caso o pagamento não seja feito em 24 horas, os arquivos seriam destruídos permanentemente.

Embora o DroidLock não criptografe arquivos, ele utiliza a estratégia de bloqueio e ameaça de destruição para alcançar o mesmo objetivo de um ransomware tradicional: forçar o pagamento. Além disso, o malware pode capturar o padrão de desbloqueio por meio de uma interface clonada e enviá-lo ao invasor, permitindo o acesso remoto ao dispositivo durante períodos de inatividade via VNC.

Como integrante da App Defense Alliance, a Zimperium compartilhou imediatamente os achados com a equipe de segurança do Android. Assim, o Google Play Protect já é capaz de detectar e bloquear a ameaça em dispositivos atualizados. Especialistas reforçam que usuários devem evitar instalar APKs fora da Google Play a menos que a fonte seja extremamente confiável, sempre revisar permissões solicitadas pelos aplicativos e manter o Play Protect ativado para escanear o aparelho regularmente.

Via - BC