O ecossistema Android enfrenta uma nova ameaça capaz de assumir o controlo total dos dispositivos e extorquir as vítimas. Batizado de DroidLock, este software malicioso foi recentemente analisado pelos investigadores da empresa de segurança móvel Zimperium e destaca-se pela sua capacidade de bloquear o ecrã do utilizador, exigindo um resgate para devolver o acesso.
Embora o foco inicial desta campanha pareça ser os utilizadores de língua espanhola, a sofisticação e o método de propagação sugerem que a ameaça deve ser levada a sério por todos. O malware é distribuído principalmente através de sites maliciosos que promovem aplicações falsas, fazendo-se passar por pacotes de instalação legítimos para enganar as vítimas.
Do controlo remoto ao roubo de dados
A infeção começa com a instalação de uma aplicação "dropper", que serve apenas como porta de entrada. Uma vez no dispositivo, esta app engana o utilizador simulando um pedido de atualização para descarregar a carga útil principal (o payload). É nesta fase que o DroidLock solicita permissões críticas, nomeadamente os serviços de Acessibilidade e de Administrador do Dispositivo.
Com estas permissões concedidas, o malware ganha carta branca para realizar atividades fraudulentas. A análise da Zimperium revela que o DroidLock suporta 15 comandos diferentes, permitindo aos atacantes aceder a mensagens de texto, registos de chamadas, contactos e até gravações de áudio. Mais alarmante é a sua capacidade de assumir o controlo completo do equipamento através do sistema de partilha VNC, permitindo a operação remota do telemóvel nos momentos em que este não está a ser utilizado.
Para garantir o acesso futuro, o malware utiliza uma técnica astuta de sobreposição de ecrã (overlay). Ao apresentar uma interface falsa, consegue capturar o padrão de desbloqueio do utilizador assim que este o desenha, enviando essa informação diretamente para os atacantes.
Táticas de ransomware e como se proteger
O comportamento do DroidLock assemelha-se ao de um ransomware, mas com uma diferença técnica importante. Ao contrário dos ataques tradicionais que encriptam os ficheiros, este malware "apenas" bloqueia o acesso ao dispositivo. Os atacantes podem alterar o PIN, a palavra-passe ou os dados biométricos, impedindo o proprietário de utilizar o seu próprio telemóvel.
Quando o comando é ativado, é apresentada uma mensagem no ecrã instruindo a vítima a contactar os criminosos através de um endereço de email Proton. A ameaça é clara: se o resgate não for pago no prazo de 24 horas, todos os ficheiros serão permanentemente apagados. O malware possui, de facto, a capacidade técnica de repor o dispositivo para as definições de fábrica, o que resultaria na perda total de dados.
Sendo a Zimperium membro da "App Defense Alliance" da Google, as descobertas foram partilhadas com a equipa de segurança do Android. Como resultado, o Google Play Protect já deteta e bloqueia esta ameaça em dispositivos atualizados. A recomendação principal de segurança mantém-se: evitar descarregar aplicações (APKs) de fontes externas à loja oficial e verificar sempre se as permissões solicitadas por uma app se justificam face à sua funcionalidade.
Nenhum comentário
Seja o primeiro!