Експерти компанії Zimperium повідомили про виявлення нового сімейства шкідливого ПЗ для Android під назвою DroidLock. Цей зловмисний інструмент поєднує можливості класичного вимагача (ransomware) та засобу віддаленого адміністрування (RAT), що робить його особливо небезпечним для користувачів і організацій. DroidLock блокує доступ до смартфона, вимагає викуп за розблокування і паралельно отримує майже повний контроль над пристроєм.
Цільова аудиторія DroidLock і схема інфікування Android-пристроїв
За даними дослідників, DroidLock орієнтований насамперед на іспаномовних користувачів. Поширення відбувається через шкідливі вебсайти, які маскуються під легітимні сервіси або корисні застосунки для Android. Користувачу пропонують завантажити APK-файл, що нібито містить потрібну програму, але насправді є дроппером — проміжним модулем, задачa якого полягає у прихованому розгортанні основного шкідливого компонента.
Як працює DroidLock: права доступу, Device Admin і Accessibility
Після запуску дроппер ініціює встановлення основного модуля DroidLock і активно вимагає розширені привілеї. Зловмисне ПЗ наполегливо запитує права Device Admin (адміністратор пристрою) та доступ до служб спеціальних можливостей (Accessibility Services). У звичайних умовах ці механізми використовуються для адміністрування смартфонів та допомоги людям з порушеннями зору чи моторики. У руках кіберзлочинців вони перетворюються на інструмент для повного дистанційного контролю над Android-пристроєм.
Функціонал DroidLock: 15 команд для тотального контролю
Отримавши адміністративні та accessibility-права, DroidLock може виконувати широкий спектр операцій без участі власника. За інформацією Zimperium, зловмисник може надсилати на заражений смартфон щонайменше 15 різних команд з керівного сервера, зокрема:
• блокування екрана, зміна PIN-коду, пароля або налаштувань біометричної автентифікації;
• показ фішингових оверлеїв поверх будь-яких застосунків та відправлення довільних системних сповіщень;
• вимкнення звуку та прихована запис аудіо з мікрофона;
• непомітний запуск камери;
• видалення застосунків і скидання до заводських налаштувань, що фактично означає повну втрату користувацьких даних.
Ключова особливість DroidLock — інтеграція з технологією VNC (Virtual Network Computing), яка широко використовується для віддаленого доступу до робочих столів. Це дозволяє атакувальникам інтерактивно керувати інтерфейсом смартфона, наче пристрій фізично знаходиться в них у руках: відкривати застосунки, переглядати листування, підтверджувати операції тощо.
Модель шантажу: блокування екрана замість шифрування файлів
На відміну від класичних шифрувальників, DroidLock не шифрує вміст пам’яті. Натомість він робить ставку на повне блокування доступу до системи. Після отримання відповідної команди від C2-сервера шкідливе ПЗ відображає вікно з вимогою викупу, використовуючи WebView-оверлей, який перекриває весь екран та блокує взаємодію з пристроєм.
На екрані користувача інформують, що смартфон заблокований і для відновлення доступу потрібно зв’язатися з операторами за адресою в Proton Mail та здійснити оплату. Зловмисники погрожують, що якщо викуп не буде сплачено протягом 24 годин, усі файли на пристрої буде видалено. З технічного погляду DroidLock дійсно здатний і змінювати код розблокування, і стирати дані, фактично роблячи смартфон непридатним до використання.
Крадіжка графічного ключа та фішингові оверлеї в Android
Окремий небезпечний аспект DroidLock — крадіжка екрану розблокування. Застосунок завантажує з власних ресурсів фальшивий оверлей, який візуально повторює стандартний екран введення графічного ключа Android. Коли користувач проводить пальцем по точках у цьому підробленому інтерфейсі, комбінація негайно відправляється на сервер керування.
Отримавши коректний графічний ключ, PIN або пароль, оператори DroidLock можуть використовувати їх, щоб віддалено входити на пристрій через VNC у моменти, коли власник неактивний. У результаті смартфон перетворюється з одноразової жертви шантажу на постійний інструмент для шпигунства, перехоплення SMS (включно з одноразовими кодами 2FA), а також для подальших атак на банківські застосунки, месенджери та поштові сервіси.
Реакція Google і роль Google Play Protect у захисті Android
Zimperium передала технічні артефакти та індикатори компрометації команді Android Security. За наявною інформацією, Google Play Protect на актуальних версіях Android уже вміє виявляти й блокувати DroidLock, що знижує ризик зараження через офіційні канали. Водночас загроза зберігається під час встановлення APK зі сторонніх сайтів, де Play Protect часто є єдиним бар’єром між користувачем і шкідливим ПЗ.
Публічні звіти провідних вендорів кібербезпеки останніми роками фіксують стійке зростання кількості Android-зловредів, які зловживають службами спеціальних можливостей та оверлеями екрана. DroidLock логічно вписується в цю тенденцію, демонструючи, наскільки небезпечною є комбінація прав Device Admin, Accessibility Services та віддаленого доступу через VNC.
Для користувачів і компаній ситуація з DroidLock — чергове нагадування про важливість базової гігієни мобільної безпеки. Відмова від установки підозрілих APK-файлів, уважне ставлення до запитуваних дозволів, особлива обережність щодо застосунків, які вимагають статус адміністратора пристрою чи повний доступ до служб спеціальних можливостей, регулярні оновлення Android, використання корпоративних рішень класу EDR/MDM та резервне копіювання даних суттєво знижують ризики. Смартфон сьогодні є повноцінним робочим інструментом і сховищем критично важливої інформації, тому його захист варто планувати так само серйозно, як захист серверів і робочих станцій.
