Исследователи компании Zimperium сообщили о выявлении нового семействa вредоносного ПО для Android под названием DroidLock. Этот зловред сочетает функциональность вымогателя и инструмента удалённого администрирования: он блокирует доступ к смартфону, требует выкуп за разблокировку и параллельно получает практически полный контроль над устройством, включая возможность чтения SMS, журналов звонков, контактов, записи аудио и удаления данных.
Целевая аудитория и схема распространения DroidLock
По данным исследователей, DroidLock ориентирован прежде всего на испаноязычную аудиторию. Распространение ведётся через вредоносные сайты, маскирующиеся под легитимные программы и сервисы. Пользователю предлагают скачать якобы полезное приложение в формате APK, которое на самом деле является дроппером — промежуточным модулем, предназначенным для скрытой установки основного вредоносного пейлоада.
После запуска дроппер обманом убеждает пользователя установить основную часть DroidLock и выдать ей расширенные привилегии. Зловред настойчиво запрашивает права Device Admin (администратор устройства) и доступ к Accessibility Services (службы специальных возможностей). Эти механизмы в обычных приложениях используются для администрирования и помощи людям с ограниченными возможностями, однако в руках злоумышленников превращаются в мощный инструмент для полного контроля над смартфоном.
Полный контроль над устройством: от смены PIN до сброса к заводским настройкам
Получив административные и accessibility-права, DroidLock способен выполнять широкий спектр операций без участия владельца. Эксперты фиксируют поддержку 15 различных команд от управляющего сервера, включая:
• блокировку экрана и изменение PIN-кода, пароля или параметров биометрической аутентификации;
• отправку произвольных уведомлений и показ фишинговых оверлеев поверх любых приложений;
• отключение звука устройства и скрытую запись аудио;
• запуск камеры без ведома пользователя;
• удаление приложений и сброс к заводским настройкам, что приводит к полной потере пользовательских данных.
Ключевой возможностью DroidLock является интеграция с VNC — популярной технологией удалённого рабочего стола. Благодаря этому злоумышленники получают интерактивный доступ к интерфейсу смартфона, фактически управляя им так же, как если бы устройство находилось у них в руках.
Механизм вымогательства: блокировка экрана без шифрования данных
В отличие от классических шифровальщиков, новая Android-малварь-вымогатель не шифрует файлы на устройстве. Вместо этого она делает ставку на полную блокировку доступа. Как только командный сервер отдаёт соответствующий сигнал, DroidLock формирует вымогательское окно в виде WebView-оверлея, которое перекрывает весь экран.
На этом экране пользователю сообщается, что доступ к устройству заблокирован, а для восстановления работы требуется связаться с операторами по адресу Proton Mail и заплатить выкуп. При этом злоумышленники заявляют, что если оплата не будет произведена в течение 24 часов, все файлы на смартфоне будут уничтожены. Технически DroidLock действительно обладает возможностью стирать данные и изменять код разблокировки, тем самым делая устройство фактически непригодным к использованию.
Кража графического ключа и фишинговые оверлеи
Отдельного внимания заслуживает функция кражи графического ключа. DroidLock подгружает из ресурсов вредоносного APK специально подготовленный оверлей, визуально копирующий стандартный экран ввода паттерна Android. Когда пользователь, не подозревая подвоха, проводит пальцем по точкам в поддельном интерфейсе, комбинация немедленно передаётся на сервер злоумышленников.
Получив действующий графический ключ или другой код разблокировки, операторы DroidLock могут использовать их для удалённого доступа через VNC в моменты, когда владелец смартфона не активен. Таким образом, атака выходит далеко за рамки разовой блокировки: устройство превращается в постоянный инструмент для шпионажа, перехвата SMS (включая одноразовые коды) и последующих атак, в том числе на банковские и мессенджер-аккаунты.
Реакция экосистемы Android и роль Google Play Protect
Исследователи Zimperium уже передали все технические артефакты и индикаторы компрометации команде Android Security. По их информации, защита Google Play Protect на обновлённых устройствах уже опознаёт и блокирует DroidLock. Это снижает риск заражения через официальные каналы, однако не исключает угрозу при установке программ из сторонних источников, где Play Protect зачастую является единственным барьером.
Публичные отчёты ведущих вендоров кибербезопасности в последние годы отмечают устойчивый рост количества семейств Android-малвари, использующей службы специальных возможностей и оверлеи экрана. DroidLock органично вписывается в эту тенденцию и демонстрирует, насколько опасной становится комбинация прав Device Admin, Accessibility и удалённого доступа по VNC.
Для обычных пользователей и организаций это очередное напоминание о базовых практиках мобильной кибербезопасности: не устанавливать APK-файлы из сомнительных источников, внимательно читать запрашиваемые разрешения и настороженно относиться к приложениям, которым якобы «для работы» нужны административные права или полный доступ к функциям доступности. Дополнительную защиту обеспечивают регулярные обновления Android и использование мобильных решений класса EDR или MDM в корпоративной среде.
Угроза DroidLock наглядно показывает, что смартфон сегодня — полноценный рабочий инструмент и хранилище критически важной информации. Защищённость мобильных устройств должна рассматриваться так же серьёзно, как и безопасность корпоративных серверов или рабочих станций. Регулярная проверка настроек безопасности, отказ от рут-доступа, установка обновлений, резервное копирование данных и критичное отношение к сторонним приложениям существенно снижают вероятность успешной атаки даже со стороны столь функциональной Android-малвари, как DroidLock.
