Die Sicherheitsforscher von Zimperium haben eine neue Familie von Android-Malware identifiziert, die unter dem Namen DroidLock geführt wird. Die Schadsoftware vereint Eigenschaften eines Ransomware-Screenlockers mit denen eines Remote-Access-Trojans (RAT). Sie sperrt den Zugriff auf das Smartphone, fordert Lösegeld und verschafft Angreifern gleichzeitig nahezu vollständige Kontrolle über das Gerät – einschließlich Zugriff auf SMS, Anruflisten, Kontakte, Mikrofon, Kamera und Löschfunktionen für Daten.
Zielgruppe und Infektionsweg: Fokus auf spanischsprachige Android-Nutzer
Aktuell zielt DroidLock laut Zimperium vor allem auf spanischsprachige Nutzer ab. Die Verbreitung erfolgt über manipulierte Websites, die sich als legitime Anwendungen oder Dienste ausgeben. Statt über den Google Play Store wird den Opfern ein APK-Download angeboten, der als vermeintlich nützliches Tool getarnt ist. In Wirklichkeit handelt es sich um einen Dropper, also eine Vorstufe, die den eigentlichen Malware-Payload im Hintergrund nachlädt und installiert.
Nach der Installation setzt DroidLock konsequent auf Social Engineering. Nutzer werden mit irreführenden Dialogen dazu gedrängt, die nachgeladene Hauptkomponente zu installieren und ihr weitreichende Rechte zu gewähren. Dieser Angriffsvektor über Sideloading ist seit Jahren einer der Haupttreiber für Android-Infektionen, wie wiederkehrende Sicherheitsberichte von Google und anderen Anbietern zeigen.
Missbrauch von Device-Admin und Accessibility-Rechten
Besonders kritisch ist die aggressive Anforderung von Device-Admin-Rechten (Administrator des Geräts) und Zugriff auf die Accessibility Services (Dienste für Barrierefreiheit). Unter normalen Umständen dienen diese Funktionen etwa zur Verwaltung von Unternehmensgeräten oder zur Unterstützung von Menschen mit Beeinträchtigungen. In böswilligen Händen werden sie jedoch zu einem vollwertigen Kontrollinstrument über das Smartphone.
Mit Administratorrechten kann Malware etwa den Sperrbildschirm manipulieren, Sicherheitsrichtlinien setzen oder einen Werksreset auslösen. Über die Accessibility Services lassen sich Bildschirminhalte auslesen, Klicks simulieren und Overlays über andere Apps legen. Zahlreiche aktuelle Android-Bedrohungen nutzen genau diese Kombination – DroidLock reiht sich damit in eine deutlich wachsende Klasse von Angriffen ein.
Funktionsumfang: 15 Kommandos bis hin zum kompletten Werksreset
Nach der erfolgreichen Rechteausweitung nimmt DroidLock Befehle von einem Command-and-Control-Server (C2) entgegen. Laut Zimperium unterstützt die Malware mindestens 15 unterschiedliche Kommandos, darunter:
• Sperren des Bildschirms und Ändern von PIN, Passwort oder biometrischen Einstellungen;
• Versenden eigener Benachrichtigungen und Einblenden von Phishing-Overlays über beliebige Apps;
• lautloses Deaktivieren des Tonsystems und verdeckte Audioaufnahmen;
• unbemerkter Start der Kamera;
• Deinstallation von Apps und Zurücksetzen auf Werkseinstellungen mit vollständigem Datenverlust.
Ein zentrales Element ist die Integration von VNC (Virtual Network Computing). Diese etablierte Remote-Desktop-Technologie ermöglicht einen interaktiven Fernzugriff auf die Benutzeroberfläche. Aus Sicht der Angreifer verhält sich das kompromittierte Smartphone damit wie ein physisch angeschlossenes Gerät: Bildschirminhalte, Gesten, Eingaben – alles lässt sich in Echtzeit steuern.
Ransomware-Komponente: Screenlocker statt Dateiverschlüsselung
Im Unterschied zu klassischen Crypto-Ransomware für Windows verschlüsselt DroidLock die Dateien auf dem Gerät nicht. Stattdessen setzt die Android-Malware auf eine vollständige Blockade des Zugriffs. Sobald der C2-Server das entsprechende Kommando sendet, blendet DroidLock ein vollflächiges WebView-Overlay ein, das alle anderen Inhalte überdeckt und den Eindruck erweckt, das Gerät sei gesperrt.
In dieser Erpressungsnachricht wird das Opfer aufgefordert, Kontakt über eine Proton-Mail-Adresse aufzunehmen und Lösegeld zu zahlen. Die Täter drohen, bei Nichtzahlung innerhalb von 24 Stunden sämtliche Daten zu löschen. Technisch stützt sich diese Drohung auf reale Fähigkeiten: DroidLock kann sowohl den Entsperrcode ändern als auch Daten und Apps entfernen oder das Gerät vollständig zurücksetzen.
Diebstahl von Entsperrmustern und Angriff auf Online-Konten
Besonders heikel ist die Funktion zum Abgreifen des Android-Grafikmusters. Die Malware lädt ein täuschend echt nachgebildetes Overlay des bekannten Pattern-Locks aus ihren Ressourcen. Wenn der Nutzer sein Muster scheinbar wie gewohnt eingibt, wird die Kombination in Wirklichkeit direkt an den C2-Server übertragen.
Mit einem gültigen Entsperrcode können die Betreiber von DroidLock das Gerät über VNC-Fernzugriff entsperren, etwa wenn der Eigentümer nicht aktiv ist. In Kombination mit der Möglichkeit, SMS – inklusive Einmalpasswörtern (OTP) – mitzulesen, eröffnen sich umfangreiche Angriffsoptionen auf Banking-Apps, Krypto-Wallets, E-Mail- und Messenger-Konten. Das infizierte Smartphone wird damit zu einer dauerhaften Plattform für Spionage und Folgeangriffe.
Google Play Protect, aktuelle Trends und Risikobewertung
Zimperium hat die technischen Details und Indicators of Compromise (IoCs) an das Android-Security-Team gemeldet. Nach derzeitigen Informationen erkennt Google Play Protect DroidLock auf aktuellen Android-Geräten und blockiert die Malware, sobald sie über offizielle oder gescannte Kanäle auftaucht. Das reduziert das Risiko im Play-Store-Ökosystem deutlich.
Die Gefahr bleibt jedoch hoch bei Installationen aus Drittquellen, bei denen Play Protect oft die letzte – und teils einzige – Verteidigungslinie bildet. Branchenberichte, etwa von ENISA, Google oder großen AV-Herstellern, zeigen seit Jahren einen stabilen Trend: Während der Play Store vergleichsweise gut geschützt ist, stammt der Großteil erfolgreicher Android-Infektionen aus Sideloading, inoffiziellen App-Stores und Phishing-Webseiten. DroidLock bestätigt diese Entwicklung und unterstreicht, wie gefährlich die Kombination aus Device-Admin, Accessibility und Fernzugriff ist.
Praxisempfehlungen: So schützen sich Unternehmen und Privatnutzer vor DroidLock
Um das Risiko durch DroidLock und ähnliche Android-Malware deutlich zu reduzieren, sollten einige grundlegende Maßnahmen konsequent umgesetzt werden:
• Keine APKs aus unsicheren Quellen: Installationen auf Google Play und vertrauenswürdige Unternehmens-Stores beschränken.
• Berechtigungen kritisch prüfen: Apps, die Device-Admin oder umfassende Accessibility-Rechte fordern, besonders hinterfragen.
• Play Protect und Updates aktiv halten: Sicherheitsupdates für Android und Google-Play-Dienste zeitnah einspielen, Play Protect nicht deaktivieren.
• Kein Root auf Produktivgeräten: Root-Zugriff hebelt Sicherheitsmechanismen aus und erleichtert Malware permanente Verankerung.
• Regelmäßige Backups: Verschlüsselte Sicherungen in der Cloud oder lokal stellen sicher, dass Daten auch nach einem Werksreset wiederherstellbar sind.
• Unternehmensumgebungen härten: Einsatz von MDM/EMM-Lösungen und mobilen EDR-Tools, klare Richtlinien für Sideloading und Sicherheits-Schulungen für Mitarbeitende.
DroidLock verdeutlicht, dass das Smartphone heute ein vollwertiger Arbeitsplatz und ein Speicherort für kritische Unternehmens- und Privatdaten ist. Die Absicherung mobiler Endgeräte sollte daher denselben Stellenwert wie der Schutz von Servern und Workstations erhalten. Wer Sicherheitsfunktionen aktiv nutzt, Updates einspielt und bei der App-Installation konsequent vorsichtig bleibt, senkt die Wahrscheinlichkeit einer erfolgreichen Infektion selbst durch so leistungsfähige Android-Malware wie DroidLock erheblich.
