Νέο κακόβουλο λογισμικό DroidLock κλειδώνει συσκευές Android και απαιτεί λύτρα

Ένα επικίνδυνο νέο κακόβουλο λογισμικό που ονομάζεται DroidLock στοχεύει χρήστες Android, ιδιαίτερα σε ισπανόφωνες περιοχές, μέσω ιστότοπων phishing.

Αυτή η απειλή συνδυάζει τακτικές ransomware με δυνατότητες τηλεχειρισμού, θέτοντας σοβαρό κίνδυνο για τους χρήστες προσωπικών και εταιρικών συσκευών.

Μόλις εγκατασταθεί, το DroidLock μετατρέπει ένα smartphone σε ένα εχθρικό τελικό σημείο που οι εισβολείς μπορούν να χειριστούν κατά βούληση, καθιστώντας το σημαντικό μέλημα για την ασφάλεια των κινητών.

Το κακόβουλο λογισμικό ξεκινά την επίθεσή του μέσω μιας διαδικασίας μόλυνσης δύο σταδίων. Μια εφαρμογή dropper εξαπατά τους χρήστες να εγκαταστήσουν το πραγματικό ωφέλιμο φορτίο μεταμφιέζοντας ως νόμιμη εφαρμογή, συχνά μιμούμενη αξιόπιστες υπηρεσίες.

Αυτή η προσέγγιση επιτρέπει στο DroidLock να παρακάμπτει τους περιορισμούς ασφαλείας του Android και να έχει πρόσβαση σε κρίσιμες υπηρεσίες προσβασιμότητας.

Μόλις εγκατασταθεί, το κακόβουλο λογισμικό ζητά δικαιώματα διαχειριστή συσκευής και προσβασιμότητας, τα οποία συχνά τα θύματα χορηγούν χωρίς να κατανοούν τις συνέπειες.

Ερευνητές ασφαλείας Zimperium αναγνωρισθείς Η εξελιγμένη αρχιτεκτονική του DroidLock κατά τη διάρκεια της έρευνάς τους.

Το κακόβουλο λογισμικό χρησιμοποιεί τόσο το HTTP όσο και το WebSocket για να επικοινωνεί με τον διακομιστή εντολών και ελέγχου του, επιτρέποντας στους εισβολείς να στέλνουν οδηγίες και να λαμβάνουν κλεμμένα δεδομένα συνεχώς.

Αυτή η αμφίδρομη επικοινωνία επιτρέπει τον έλεγχο σε πραγματικό χρόνο σε παραβιασμένες συσκευές.

Κατανόηση του μηχανισμού κλοπής διαπιστευτηρίων του DroidLock

Το DroidLock χρησιμοποιεί δύο διαφορετικές τεχνικές επικάλυψης για την κλοπή των διαπιστευτηρίων χρήστη και το ξεκλείδωμα των μοτίβων.

Η πρώτη μέθοδος χρησιμοποιεί μια διεπαφή σχεδίασης μοτίβων ενσωματωμένη απευθείας στον κώδικα του κακόβουλου λογισμικού που εμφανίζεται αμέσως όταν οι χρήστες προσπαθούν να ξεκλειδώσουν τις συσκευές τους ή να αποκτήσουν πρόσβαση σε τραπεζικές εφαρμογές.

Αυτή η επικάλυψη καταγράφει μοτίβα ξεκλειδώματος χωρίς να ειδοποιεί τους χρήστες για την κλοπή. Η δεύτερη προσέγγιση περιλαμβάνει επικαλύψεις που βασίζονται σε HTML που φορτώνονται δυναμικά από μια βάση δεδομένων στον διακομιστή του εισβολέα.

Αυτές οι επικαλύψεις μιμούνται τέλεια τις νόμιμες τραπεζικές εφαρμογές και τις οθόνες σύνδεσης, εξαπατώντας τους χρήστες να εισάγουν διαπιστευτήρια απευθείας σε πλαστές φόρμες.

Όταν οι χρήστες αλληλεπιδρούν με αυτές τις επικαλύψεις, όλες οι εισαγόμενες πληροφορίες ρέουν απευθείας στην υποδομή του εισβολέα.

Το κακόβουλο λογισμικό παρακολουθεί όταν οι χρήστες ανοίγουν συγκεκριμένες εφαρμογές και τις αντιστοιχίζει με μια λίστα που παρέχεται από διακομιστή.

Εάν συμβεί μια αντιστοίχιση, το DroidLock αναπτύσσει αμέσως την αντίστοιχη επικάλυψη. Αυτή η έξυπνη στόχευση διασφαλίζει ότι οι εισβολείς επικεντρώνονται σε εφαρμογές υψηλής αξίας, όπως τραπεζικά συστήματα και συστήματα πληρωμών.

Πέρα από την κλοπή διαπιστευτηρίων, το DroidLock καταγράφει τη δραστηριότητα της οθόνης και τραβάει εικόνες χρησιμοποιώντας την κάμερα της συσκευής, εκθέτοντας πιθανώς ευαίσθητες πληροφορίες που εμφανίζονται στην οθόνη, συμπεριλαμβανομένων κωδικών πρόσβασης μίας χρήσης και κωδικών ελέγχου ταυτότητας.

Η οθόνη λύτρων του DroidLock απειλεί να καταστρέψει όλα τα δεδομένα εντός 24 ωρών και απαιτεί πληρωμή μέσω των παρεχόμενων στοιχείων επικοινωνίας.

Σε αντίθεση με το παραδοσιακό ransomware κρυπτογράφησης αρχείων, αυτό το κακόβουλο λογισμικό δεν χρειάζεται να κρυπτογραφήσει δεδομένα, επειδή μπορεί απλά να διαγράψει τα πάντα χρησιμοποιώντας εντολές επαναφοράς εργοστασιακών ρυθμίσεων.

Αυτό καθιστά την πρόληψη και τον εντοπισμό ζωτικής σημασίας, καθώς η ανάκαμψη μετά τη μόλυνση γίνεται σχεδόν αδύνατη χωρίς τη βοήθεια ειδικού.