Un nuevo malware para Android, identificado como DroidLock por investigadores de Zimperium, está ganando atención en la comunidad de ciberseguridad por combinar características de ransomware y de troyano de acceso remoto (RAT). Esta familia maliciosa bloquea el acceso al smartphone, exige un pago de rescate y, al mismo tiempo, otorga a los atacantes un control casi absoluto del dispositivo, incluyendo lectura de SMS, contactos, grabación de audio y borrado de datos.
Malware DroidLock: foco en usuarios hispanohablantes y cadena de infección
Según el análisis de Zimperium, DroidLock se dirige principalmente a usuarios hispanohablantes, lo que sugiere una campaña orientada a países de habla española. La distribución se realiza a través de sitios maliciosos que se hacen pasar por aplicaciones o servicios legítimos y ofrecen la descarga de archivos APK. Estos APK no son la carga final, sino un dropper, es decir, un módulo intermedio diseñado para instalar de forma encubierta el componente principal del malware.
Tras la instalación y ejecución del dropper, el usuario es engañado para que instale la aplicación maliciosa principal y le conceda amplios privilegios. DroidLock solicita de manera insistente permisos de Device Admin (administrador del dispositivo) y acceso a los Servicios de Accesibilidad de Android. Estos mecanismos, pensados para la administración y la asistencia a personas con discapacidad, se convierten en manos de los atacantes en herramientas extremadamente potentes para tomar el control del smartphone.
Control total del dispositivo: comandos remotos, VNC y borrado de datos
Una vez obtiene privilegios de administrador y acceso a accesibilidad, DroidLock puede ejecutar múltiples acciones sin intervención del usuario. Los investigadores han documentado soporte para al menos 15 comandos diferentes enviados desde el servidor de mando y control (C2), entre ellos el bloqueo de pantalla, cambio de PIN o contraseña, modificación de parámetros biométricos, desinstalación de aplicaciones y restablecimiento de fábrica, lo que implica la pérdida completa de la información almacenada.
Uno de los aspectos más críticos es su integración con VNC (Virtual Network Computing), una tecnología clásica de escritorio remoto. Gracias a esta funcionalidad, los operadores del malware obtienen acceso interactivo al interfaz del dispositivo, pudiendo manejar el teléfono a distancia como si lo tuvieran físicamente en sus manos. Esta combinación de VNC con privilegios de accesibilidad sitúa a DroidLock en la categoría de RAT Android avanzado.
DroidLock como ransomware: bloqueo de pantalla en lugar de cifrado
A diferencia de otros ransomware para Android que cifran archivos, DroidLock opta por una técnica de “screen locker”. Una vez recibe la orden desde el servidor C2, genera una ventana de rescate en forma de WebView a pantalla completa que impide al usuario acceder al sistema y a sus aplicaciones. En este mensaje se indica que el dispositivo ha sido bloqueado y que, para recuperarlo, es necesario contactar con los atacantes mediante una dirección de Proton Mail y pagar un rescate.
El mensaje de extorsión advierte de que, si el pago no se realiza en 24 horas, todos los archivos del smartphone serán destruidos. Desde un punto de vista técnico, la amenaza es creíble: DroidLock dispone de capacidades para borrar datos y cambiar el código de desbloqueo, lo que puede volver el dispositivo inutilizable. Este enfoque de bloqueo total, combinado con funciones de espionaje, incrementa el impacto de la infección frente a un simple cifrado de ficheros.
Robo del patrón de desbloqueo y ovelays de phishing en Android
Entre las funcionalidades más preocupantes se encuentra la captura del patrón de desbloqueo. DroidLock carga desde sus propios recursos un overlay que imita con precisión la pantalla oficial de Android para introducir el patrón. Cuando el usuario dibuja el gesto sobre esta interfaz falsa, la combinación se envía inmediatamente al servidor del atacante, junto con otros posibles códigos de desbloqueo.
Con un patrón o PIN válido en su poder, los operadores pueden aprovechar el acceso remoto vía VNC para entrar en el teléfono en momentos en los que el usuario no está activo. De este modo, el dispositivo comprometido se transforma en una plataforma persistente para espionaje, interceptación de SMS (incluidos códigos de un solo uso) y fraudes financieros, como el acceso a cuentas bancarias o de mensajería con doble factor de autenticación.
Google Play Protect, tendencias en malware Android y medidas de defensa
Zimperium ha compartido los indicadores de compromiso y artefactos técnicos con el equipo de Android Security de Google. De acuerdo con la información disponible, Google Play Protect ya es capaz de detectar y bloquear variantes conocidas de DroidLock en dispositivos actualizados. Esto reduce el riesgo en instalaciones desde Google Play, pero no elimina el peligro procedente de fuentes externas y tiendas no oficiales, donde Play Protect suele ser la única línea de defensa.
Los principales informes de ciberseguridad sobre amenazas móviles coinciden en señalar un aumento constante de malware Android que abusa de los servicios de accesibilidad y de overlays de pantalla. DroidLock encaja en esta tendencia y pone de manifiesto el riesgo que supone conceder permisos de Device Admin y accesibilidad a aplicaciones de origen desconocido. Para usuarios y organizaciones, las mejores prácticas incluyen no instalar APK desde sitios no confiables, revisar cuidadosamente los permisos solicitados, mantener Android y las apps siempre actualizadas y, en entornos corporativos, desplegar soluciones MDM/EMM o EDR móvil para monitorizar y contener incidentes.
La aparición de DroidLock refuerza una realidad ya evidente: el smartphone es hoy un activo crítico que almacena credenciales, información personal y datos corporativos sensibles. Tratar la seguridad móvil con el mismo rigor que la de servidores y estaciones de trabajo es esencial. Revisar periódicamente la configuración de seguridad, evitar el acceso root, activar copias de seguridad cifradas y desconfiar de cualquier app que exija privilegios administrativos o acceso completo a accesibilidad son medidas concretas que reducen significativamente la probabilidad de ser víctima de amenazas avanzadas como DroidLock.
