DroidLock ataca Android con ransomware y robo de contraseñas en masa
TL;DR
Investigadores de zLabs han identificado a <strong>DroidLock</strong>, un nuevo ransomware que afecta a usuarios de <strong>Android</strong> en España. Opera a través de sitios de phishing, bloqueando completamente la pantalla del dispositivo, robando credenciales y asumiendo el control total del aparato.
Investigadores de zLabs han identificado a DroidLock, un nuevo ransomware que afecta a usuarios de Android en España. Opera a través de sitios de phishing, bloqueando completamente la pantalla del dispositivo, robando credenciales y asumiendo el control total del aparato.
El foco de los ataques son usuarios en España, aunque el riesgo para brasileños es, hasta el momento, considerado bajo.
Funcionamiento del ataque
DroidLock utiliza una técnica de infección en dos etapas. Primero, una aplicación denominada "dropper" engaña al usuario para instalar una segunda carga maliciosa que contiene el verdadero ransomware. Este enfoque le permite eludir las restricciones de Android aprovechando los Servicios de Accesibilidad.
Tras la concesión del permiso de accesibilidad, el malware obtiene acceso a SMS, registros de llamadas y contactos sin el conocimiento del usuario.
A diferencia de los ransomwares tradicionales, DroidLock utiliza una pantalla de aviso en modo de superposición que ocupa toda la pantalla del dispositivo, emitiendo comandos de un servidor de comando y control (C2).
El mensaje orienta a la víctima a contactar a los atacantes por correo electrónico con el ID del dispositivo dentro de un plazo de 24 horas, bajo la amenaza de destrucción de archivos, aunque no cifra los datos de hecho; sin embargo, puede realizar una restauración forzada de fábrica.
DroidLock también solicita privilegios de administrador al inicio de la instalación, permitiendo que los criminales bloqueen el aparato, alteren PINs, contraseñas e información biométrica, imposibilitando el acceso legítimo del usuario.
Robo de credenciales a través de superposiciones
Para robar credenciales y patrones de desbloqueo, el malware emplea dos métodos principales. El primero simula la pantalla del patrón de desbloqueo de Android, grabando los movimientos de los usuarios al intentar desbloquear sus dispositivos.
En el segundo método, DroidLock mantiene una base de datos local con páginas HTML falsas. Cuando la víctima accede a aplicaciones objetivo, como bancarias o de redes sociales, se muestra una superposición en pantalla completa, capturando información sensible sin levantar sospechas.
Grabación de pantalla y control remoto
La vigilancia es un aspecto avanzado de DroidLock, que puede grabar continuamente lo que aparece en la pantalla, enviando imágenes codificadas en base64 a los atacantes. Esta funcionalidad es especialmente arriesgada para usuarios que manejan información sensible.
Además, el malware soporta control remoto a través de VNC (Computación de Red Virtual), permitiendo que los atacantes interactúen con el dispositivo en tiempo real.
Arquitectura de comunicación del malware
DroidLock utiliza una comunicación en dos fases. Primero, envía datos básicos del dispositivo a través de HTTP, incluyendo modelo, versión de Android y ubicación.
En la siguiente fase, la comunicación evoluciona a websocket, permitiendo un intercambio de datos en tiempo real. Esta conexión se utiliza para recibir comandos y transmitir información robada continuamente.
Actualmente, DroidLock se enfoca en usuarios españoles, pero la situación demanda atención, ya que la técnica puede expandirse a otras regiones.
Para más información y actualizaciones sobre seguridad digital, sigue a TecMundo en las redes sociales y suscríbete a nuestro boletín.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
