DroidLock attaque Android avec ransomware et vol de mots de passe en masse
TL;DR
Des chercheurs de zLabs ont identifié <strong>DroidLock</strong>, un nouveau ransomware qui affecte les utilisateurs <strong>d'Android</strong> en Espagne. Il agit par le biais de sites de phishing, bloquant complètement l'écran de l'appareil, volant des identifiants et prenant le contrôle total de l'appareil.
Des chercheurs de zLabs ont identifié DroidLock, un nouveau ransomware qui affecte les utilisateurs d'Android en Espagne. Il agit par le biais de sites de phishing, bloquant complètement l'écran de l'appareil, volant des identifiants et prenant le contrôle total de l'appareil.
Le ciblage des attaques concerne les utilisateurs en Espagne, bien que le risque pour les Brésiliens soit, jusqu'à présent, considéré comme faible.
Fonctionnement de l'attaque
DroidLock utilise une technique d'infection en deux étapes. Tout d'abord, une application appelée "dropper" trompe l'utilisateur en installant une seconde charge malveillante contenant le vrai ransomware. Cette approche lui permet de contourner les restrictions d'Android en profitant des Services d'Accessibilité.
Après l'octroi de la permission d'accessibilité, le malware accède aux SMS, aux journaux d'appels et aux contacts sans que l'utilisateur ne s'en aperçoive.
Contrairement aux ransomwares traditionnels, DroidLock utilise un écran d'avertissement en mode superposé qui occupe tout l'écran de l'appareil, émettant des commandes depuis un serveur de commande et contrôle (C2).
Le message invite la victime à contacter les attaquants par e-mail en fournissant l'ID de l'appareil dans un délai de 24 heures, sous la menace de destruction de fichiers, bien qu'il ne crypte pas réellement les données ; il peut toutefois procéder à une restauration d'usine forcée.
DroidLock demande également des privilèges d'administrateur dès le début de l'installation, permettant aux criminels de verrouiller l'appareil, de modifier les PIN, mots de passe et informations biométriques, rendant impossible l'accès légitime de l'utilisateur.
Vol de crédentiels via superpositions
Pour voler des identifiants et des schémas de déverrouillage, le malware utilise deux méthodes principales. La première simule l'écran du schéma de déverrouillage d'Android, enregistrant les mouvements des utilisateurs lorsqu'ils essaient de déverrouiller leurs appareils.
Dans la deuxième méthode, DroidLock maintient une base de données locale avec des pages HTML falsifiées. Lorsque la victime accède à des applications ciblées, comme celles de banques ou de réseaux sociaux, une superposition en plein écran s'affiche, capturant des informations sensibles sans éveiller de soupçons.
Enregistrement d'écran et contrôle à distance
La surveillance est un aspect avancé de DroidLock, qui peut enregistrer en continu ce qui apparaît à l'écran, envoyant des images codées en base64 aux attaquants. Cette fonctionnalité est particulièrement risquée pour les utilisateurs traitant des informations sensibles.
De plus, le malware prend en charge le contrôle à distance via VNC (Virtual Network Computing), permettant aux attaquants d'interagir avec l'appareil en temps réel.
Architecture de communication du malware
DroidLock utilise une communication en deux phases. Tout d'abord, il envoie des données de base sur l'appareil via HTTP, y compris le modèle, la version d'Android et la localisation.
Dans la phase suivante, la communication évolue vers websocket, permettant un échange de données en temps réel. Cette connexion est utilisée pour recevoir des commandes et transmettre en continu des informations volées.
Actuellement, DroidLock cible des utilisateurs espagnols, mais la situation nécessite une attention, car la technique pourrait s'étendre à d'autres régions.
Pour plus d'informations et des mises à jour sur la sécurité numérique, suivez TecMundo sur les réseaux sociaux et abonnez-vous à notre newsletter.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
