Ένα ransomware για Android, γνωστό πλέον ως DroidLockέχει εξαπλωθεί στο διαδίκτυο σε πολύ σύντομο χρονικό διάστημα, θέτοντας σε σοβαρό κίνδυνο τους χρήστες κινητών συσκευών που εγκαθιστούν λογισμικό από ανεπίσημες πηγές. Το κακόβουλο λογισμικό αναφέρθηκε από το BleepingComputer στις 10 Δεκεμβρίου και ανακαλύφθηκε από την εταιρεία ασφάλειας κινητής τηλεφωνίας Zimperium. Επηρεάζει κυρίως ισπανόφωνους χρήστες μέσω κακόβουλων ιστότοπων. Το κακόβουλο λογισμικό εξαπατά τα θύματα χρησιμοποιώντας μια ψεύτικη διεπαφή «ενημέρωσης συστήματος», παρόμοια με άλλες απειλές που συζητήθηκαν προηγουμένως στην πλατφόρμα μας, όπως Βελτιώσεις ασφάλειας HyperOS και Τα ενσωματωμένα εργαλεία προστασίας της Xiaomi.
Η αλυσίδα μόλυνσης του DroidLock βασίζεται σε ένα σταγονόμετρο πολλαπλών σταδίων, το οποίο είναι καμουφλαρισμένο ως κανονική εφαρμογή. Με τη συγκατάθεση του χρήστη για την εγκατάσταση της ψεύτικης ενημέρωσης, το κακόβουλο λογισμικό αναπτύσσει το κακόβουλο ωφέλιμο φορτίο του σε αθόρυβη λειτουργία. Αυτό το είδος στρώσεων αυξάνει σημαντικά τις πιθανότητες παράκαμψης της ευαισθητοποίησης των χρηστών, ειδικά σε συσκευές με χαλαρές ρυθμίσεις ασφαλείας.
Πώς το DroidLock εκτελεί την επίθεσή του
Μόλις εγκατασταθεί, το DroidLock ζητά αμέσως δύο κρίσιμα δικαιώματα: Διαχείριση Συσκευών και Υπηρεσίες προσβασιμότητας. Αυτά τα δικαιώματα επιτρέπουν την εκτέλεση έως και 15 ειδικών, κακόβουλων εντολών.
Βασικές δυνατότητες του DroidLock
Ακολουθεί ένας απλοποιημένος πίνακας που συνοψίζει τι μπορεί να κάνει το κακόβουλο λογισμικό με βάση:
| Ικανότητα | Περιγραφή |
|---|---|
| Σίγαση συσκευής | Σίγασε τον ήχο της συσκευής για απόκρυψη ειδοποιήσεων |
| Απομακρυσμένη ενεργοποίηση κάμερας | Επιτρέπει στους εισβολείς να χρησιμοποιούν την κάμερα από απόσταση |
| Κατάργηση εγκατάστασης εφαρμογής | Αφαιρεί επιλεγμένες εφαρμογές |
| Κλοπή αρχείου SMS & κλήσεων | Εξάγει ευαίσθητα δεδομένα επικοινωνίας |
| Διαφανής επικάλυψη | Καταγράφει μοτίβα ξεκλειδώματος οθόνης |
| Τηλεχειριστήριο VNC | Παρέχει πλήρη πρόσβαση στη συσκευή όταν είναι σε αδράνεια |
Μόλις αποκτήσει πλήρη έλεγχο, το DroidLock ενεργοποιεί α Κανάλι απομακρυσμένης πρόσβασης που βασίζεται σε VNC που επιτρέπει στους εισβολείς να χειρίζονται τη συσκευή σαν να ήταν στα χέρια τους. Το κακόβουλο λογισμικό εκτελεί ακόμη και μια διαφανή επικάλυψη πλήρους οθόνης για να καταγράψει το μοτίβο κλειδώματος ή το PIN του χρήστη, στέλνοντάς το κατευθείαν στον εισβολέα.
Στρατηγική Screen-lock Ransomware, όχι κρυπτογράφηση αρχείων
Σε αντίθεση με το κλασικό ransomware, το οποίο κρυπτογραφεί τα αρχεία των χρηστών, το DroidLock εστιάζει εκβιασμός κλειδώματος οθόνης μέσω μιας μόνιμης επικάλυψης WebView. Η προσέγγιση του αποκλεισμού κάθε αλληλεπίδρασης με τη χρήση ενός επιπέδου πλήρους οθόνης στο πάνω μέρος της διεπαφής και την τροποποίηση των ρυθμίσεων της συσκευής που σχετίζονται με το PIN ή το βιομετρικό κλείδωμα κλειδώνει πλήρως τη συσκευή.
Στη συνέχεια, οι εισβολείς εμφανίζουν ένα μήνυμα λύτρων με μια διεύθυνση επικοινωνίας μέσω ProtonMail, δηλώνοντας ότι όλα τα αρχεία θα διαγραφούν εντός 24 ωρών εάν το θύμα δεν πληρώσει. Δεν υπάρχει κρυπτογράφηση κανενός αρχείου, αλλά το σοβαρό αποτέλεσμα κλειδώματος είναι ουσιαστικά το ίδιο όσον αφορά το αποτέλεσμα του εκβιασμού.
| Χαρακτηριστικό | Εξήγηση |
|---|---|
| Επικάλυψη πλήρους οθόνης | Αποτρέπει οποιαδήποτε έξοδο ή τοπικό έλεγχο |
| Βιομετρική/Τροποποίηση PIN | Αναγκάζει το πλήρες κλείδωμα της συσκευής |
| 24ωρη απειλή | Τακτική ψυχολογικής πίεσης |
| Επικοινωνία ProtonMail | Ανώνυμο κανάλι επικοινωνίας |
Πώς οι χρήστες της Xiaomi μπορούν να παραμείνουν προστατευμένοι
Ως μέλος της Google App Defense Alliance, το Zimperium έχει ήδη μοιραστεί την υπογραφή του DroidLock με την Google. Συσκευές που έχουν Google Play Protect ενεργοποιημένο τώρα μπορεί να εντοπίσει και να αποκλείσει αυτόματα αυτό το κακόβουλο λογισμικό.
Ωστόσο, οι χρήστες Xiaomi έχουν ένα πρόσθετο πλεονέκτημα ως προς το ότι: Προτεινόμενα μέτρα ασφαλείας για την Xiaomi Εκτελέστε τακτικές σαρώσεις κακόβουλου λογισμικού χρησιμοποιώντας το Xiaomi Security εφαρμογή.
- Αποφύγετε την εγκατάσταση εφαρμογών έξω Google Play Store ή GetApps.
- Να είστε πολύ προσεκτικοί όταν εξετάζετε οποιοδήποτε αίτημα άδειας που σχετίζεται με Προσιτότητα.
- Διατήρηση HyperOS και όλες οι εφαρμογές συστήματος ενημερώθηκαν μέσω MemeOS Enhancer ή HyperOSUpdates.com.
Το DroidLock αντικαθιστά ένα νέο κύμα Android ransomware που εξαρτάται από μια δραστηριότητα κλειδώματος οθόνης και όχι από ένα σύστημα κρυπτογράφησης αρχείων. Λόγω της μεθόδου μόλυνσης σε πολλά στάδια, των ισχυρών δυνατοτήτων τηλεχειρισμού και των επιθετικών τακτικών λύτρων, οι χρήστες πρέπει να είναι προσεκτικοί με τις πηγές εγκατάστασης και τη σάρωση συσκευών.
