DroidLock android malware
Zimperium zLabs kutatói új Android kártevőt, a DroidLockot azonosítottak, amely elsősorban spanyol nyelvű felhasználókat céloz, és egyszerre alkalmaz social engineeringet, jogosultság-túlkapást és távoli irányítást arra, hogy teljes kontrollt szerezzen a kompromittált eszközök felett. A fertőzés jellemzően phishing-oldalakon keresztül terjed, ahol a felhasználót megtévesztő alkalmazás-frissítés vagy hasonló álcával ráveszik, hogy telepítsen egy hamis dropper-alkalmazást, amely aztán a valódi malware-t tölti le és aktiválja magát. A DroidLock kártevő agresszíven kéri az Android Accessibility Services és a Device Administrator jogosultságokat, amivel megkerüli a beépített biztonsági korlátokat és széleskörű jogosultságokat szerez az eszköz felett.
Miután a kártevő elindult, a támadók szinte teljes irányítást kapnak a készülék felett. A DroidLock képes teljes képernyős ransomware-stílusú overlayt megjeleníteni, amely blokkolja a normál használatot, és fizetésre készteti az áldozatot, de emellett használhatja a Device Administrator jogosultságot a képernyő lezárására, a PIN/biometrikus adat megváltoztatására vagy akár gyári visszaállítás indítására is, ezzel a tényleges adatok törlésére vagy a felhasználó kizárására. A malware továbbá a háttérben folyamatosan kommunikál a vezérlő- és irányító szerverrel, amelyen keresztül parancsokat kap és adatokat továbbít, ami lehetővé teszi további rosszindulatú műveletek vezérlését, beleértve a fényképezést vagy más, ténylegesen kártékony parancsokat.
A DroidLock vizsgálata arra is rávilágít, hogy a mobil fenyegetések ma már nem csupán offline adathalászatok vagy adatlopó modulok; egyre gyakrabban láthatók olyan kártevők, amelyek összevonják a ransomware-szerű zsarolást, a jogosultság-túlkapást és a távoli irányítást, ezzel szinte teljes mértékben átvehetik az érintett Android-eszköz operációs környezetét. Ennek megfelelően a védelmi szakemberek és felhasználók számára kiemelten fontos az olyan telepítés-ellenőrző mechanizmusok alkalmazása, amelyek blokkolják a rosszindulatú telepítéseket, továbbá a jogosultság-kérelmek szigorú átvizsgálása és a megbízható forrásból származó alkalmazások használata.
