)
Identificado por pesquisadores da zLabs, o DroidLock é um novo ransomware que está atacando usuários Android na Espanha por meio de sites de phishing. O malware se destaca pela capacidade de bloquear completamente a tela do dispositivo, roubar credenciais de aplicativos e assumir o controle total do celular da vítima.
O principal alvo da campanha são usuários Android espanhóis, e por enquanto, não existe risco direto para os brasileiros.
Nossos vídeos em destaque
Como funciona o ataque
O DroidLock utiliza uma técnica sofisticada de infecção em dois estágios. Primeiro, um aplicativo "dropper" engana o usuário para instalar uma segunda carga maliciosa que contém o ransomware real. Essa estratégia permite que o malware contorne restrições do Android para explorar os Serviços de Acessibilidade.
Uma vez que a vítima concede permissão de acessibilidade, muitas vezes sem perceber o que está autorizando, o malware aprova automaticamente permissões adicionais para acessar SMS, registros de chamadas, contatos e áudio.
Diferentemente de ransomwares convencionais que criptografam arquivos, o DroidLock exibe uma tela de aviso em formato de sobreposição que ocupa toda a tela do dispositivo, após receber comandos do servidor de comando e controle (C2).
A mensagem instrui a vítima a entrar em contato com os atacantes por e-mail em até 24 horas, usando o ID do dispositivo como referência. O aviso ameaça destruir todos os arquivos caso o prazo não seja cumprido. Embora o malware não criptografe os dados de fato, ele tem capacidade técnica para apagar completamente o dispositivo através de uma restauração de fábrica forçada.
Além disso, o DroidLock solicita privilégios de administrador do dispositivo logo no início da instalação. Com essas permissões elevadas, os criminosos podem bloquear o aparelho, alterar PINs, senhas e até informações biométricas, impedindo completamente o acesso legítimo do usuário ao seu próprio celular.
)
A análise técnica revelou que o DroidLock mantém comunicação constante com seu servidor C2, aguardando instruções dos atacantes. O malware aceita 15 comandos diferentes, cada um com funcionalidades específicas para maximizar o controle sobre o dispositivo infectado.
Entre as capacidades mais preocupantes estão a possibilidade de exibir telas pretas que bloqueiam a interação do usuário, enviar notificações falsas, silenciar o dispositivo, desinstalar aplicativos específicos e até mesmo acionar a câmera frontal para capturar imagens da vítima.
Um dos comandos é capaz até de ativar uma tela falsa de atualização do sistema Android, instruindo as vítimas a não desligar ou reiniciar o dispositivo. Essa técnica é comumente usada por atacantes para impedir qualquer interferência enquanto atividades maliciosas são executadas em segundo plano.
Roubo de credenciais com sobreposições falsas
O DroidLock emprega dois métodos principais para roubar credenciais e padrões de desbloqueio. O primeiro utiliza uma interface rápida armazenada diretamente no aplicativo que simula a tela de padrão de desbloqueio do Android, capturando os movimentos da vítima ao tentar desbloquear o dispositivo.
No segundo método, o malware mantém um banco de dados local com páginas HTML falsas que imitam aplicativos legítimos. Sempre que a vítima abre um aplicativo-alvo – como apps bancários ou de redes sociais – o DroidLock consulta seu banco de dados e, se encontrar uma correspondência, exibe uma sobreposição em tela cheia que carrega a página falsa.
Essa técnica de overlay abuse através dos Serviços de Acessibilidade permite que o malware capture credenciais de login, senhas bancárias e outras informações sensíveis sem levantar suspeitas imediatas da vítima.
Gravação de tela e controle remoto via VNC
Além das capacidades de bloqueio e roubo de credenciais, o DroidLock possui recursos de vigilância avançados. O malware pode gravar continuamente tudo o que aparece na tela do dispositivo, convertendo as imagens em formato JPEG codificado em base64 e transmitindo-as para o servidor dos atacantes.
Essa funcionalidade representa um risco extremo para usuários corporativos e qualquer pessoa que manipule informações sensíveis no celular. Códigos de autenticação multifator (MFA), conversas privadas, dados bancários e documentos confidenciais podem ser capturados e exfiltrados sem que a vítima perceba.
O malware também suporta controle remoto via VNC (Virtual Network Computing), permitindo que os criminosos visualizem e interajam com o dispositivo em tempo real, como se estivessem fisicamente com o aparelho nas mãos.
Comunicação sofisticada com servidor C2
O DroidLock utiliza uma arquitetura de comunicação em duas fases. Inicialmente, ele estabelece uma conexão HTTP para enviar informações básicas do dispositivo para fins analíticos – dados como modelo do aparelho, versão do Android, operadora e localização.
Na segunda fase, o malware migra para comunicação via websocket, um protocolo que permite troca de dados bidirecional em tempo real. Essa conexão persistente é usada para receber comandos dos atacantes e enviar dados roubados continuamente, incluindo SMS interceptados, histórico de chamadas, contatos e credenciais capturadas.
Atualmente, o DroidLock está especificamente direcionado a usuários Android espanhóis, o que significa que o risco imediato para brasileiros é baixo. No entanto, alguns fatores merecem atenção.
Para continuar informado sobre este caso, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
