DroidLock ataca Android com ransomware e roubo de senhas em massa
TL;DR
Pesquisadores da zLabs identificaram o DroidLock, um novo ransomware que afeta usuários Android na Espanha, agindo através de sites de phishing e assumindo controle total dos dispositivos.
Pesquisadores da zLabs identificaram o DroidLock, um novo ransomware que afeta usuários Android na Espanha. Ele atua por meio de sites de phishing, bloqueando completamente a tela do dispositivo, roubando credenciais e assumindo o controle total do aparelho.
O foco dos ataques são usuários na Espanha, embora o risco para brasileiros seja, até o momento, considerado baixo.
Funcionamento do ataque
O DroidLock utiliza uma técnica de infecção em dois estágios. Primeiro, um aplicativo denominado "dropper" engana o usuário a instalar uma segunda carga maliciosa que contém o verdadeiro ransomware. Essa abordagem permite que ele contorne restrições do Android aproveitando os Serviços de Acessibilidade.
Após a concessão da permissão de acessibilidade, o malware obtém acesso a SMS, registros de chamadas e contatos sem o conhecimento do usuário.
Diversamente de ransomwares tradicionais, o DroidLock utiliza uma tela de aviso em modo de sobreposição que ocupa toda a tela do dispositivo, emitindo comandos de um servidor de comando e controle (C2).
A mensagem orienta a vítima a contatar os atacantes por e-mail com o ID do dispositivo dentro de um prazo de 24 horas, sob a ameaça de destruição de arquivos, embora não criptografe os dados de fato; ele pode, contudo, realizar uma restauração de fábrica forçada.
O DroidLock também solicita privilégios de administrador no início da instalação, permitindo que os criminosos bloqueiem o aparelho, alterem PINs, senhas e informações biométricas, impossibilitando o acesso legítimo do usuário.
Roubo de credenciais via sobreposições
Para roubar credenciais e padrões de desbloqueio, o malware emprega dois métodos principais. O primeiro simula a tela do padrão de desbloqueio do Android, gravando os movimentos dos usuários ao tentar desbloquear seus dispositivos.
No segundo método, o DroidLock mantém um banco de dados local com páginas HTML falsas. Quando a vítima acessa aplicativos-alvo, como bancários ou de redes sociais, uma sobreposição em tela cheia é exibida, capturando informações sensíveis sem levantar suspeitas.
Gravação de tela e controle remoto
A vigilância é um aspecto avançado do DroidLock, que pode gravar continuamente o que aparece na tela, enviando imagens codificadas em base64 para os atacantes. Essa funcionalidade é especialmente arriscada para usuários que lidam com informações sensíveis.
Além disso, o malware suporta controle remoto via VNC (Virtual Network Computing), permitindo que atacantes interajam com o dispositivo em tempo real.
Arquitetura de comunicação do malware
O DroidLock utiliza uma comunicação em duas fases. Primeiro, ele envia dados básicos do dispositivo via HTTP, incluindo modelo, versão do Android e localização.
Na fase seguinte, a comunicação evolui para websocket, permitindo uma troca de dados em tempo real. Essa conexão é usada para receber comandos e transmitir informações roubadas continuamente.
Atualmente, o DroidLock foca em usuários espanhóis, mas a situação demanda atenção, já que a técnica pode se expandir para outras regiões.
Para mais informações e atualizações sobre segurança digital, siga o TecMundo nas redes sociais e inscreva-se em nossa newsletter.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
