Novi Android malver snima ekran, krade lozinke i zaključava uređaj

Istraživači iz Zimperium zLabs otkrili su novi Android malver pod nazivom DroidLock, koji funkcioniše poput ransomware-a i napadačima omogućava potpunu kontrolu nad zaraženim uređajem.

Prema objavljenom izvještaju, DroidLock trenutno cilja korisnike u Španiji, a širi se putem lažnih fišing veb-sajtova. Nakon instalacije, malver koristi obmanjujuće tehnike socijalnog inženjeringa, uključujući lažna obavještenja o sistemskim ažuriranjima, kako bi prikazao upozorenje preko cijelog ekrana i izvršio pritisak na žrtvu da stupi u kontakt s napadačima.

Višnu Pratapagiri, istraživač bezbjednosti u Zimperiumu i autor izvještaja, navodi da je DroidLock dizajniran kao mobilni ransomware čiji je cilj potpuno zaključavanje telefona žrtve.

Tehnički gledano, DroidLock je izuzetno sofisticiran. Koristi čak 15 različitih komandi za komunikaciju s komandno-kontrolnim (C2) serverom, što napadačima omogućava visok stepen fleksibilnosti i kontrole.

Za razliku od klasičnih ransomware rješenja, DroidLock ne šifruje fajlove, ali to ne umanjuje njegovu destruktivnost. Zloupotrebljava Device Administrator dozvole, čime dobija mogućnost da obriše cijeli uređaj, promijeni PIN ili lozinku i trajno zaključa telefon.

Posebno zabrinjava funkcija krađe povjerljivih podataka. Malver koristi dvostruke overlay ekrane — lažne interfejse koji se prikazuju preko legitimnih aplikacija — kako bi prikupio šablone za otključavanje, lozinke aplikacija i druge osjetljive informacije.

DroidLock takođe može da strimuje ekran u realnom vremenu i omogući daljinsko upravljanje uređajem putem VNC tehnologije. Kontinuiranim snimanjem i prenosom sadržaja ekrana na udaljeni server, napadači mogu da vide sve aktivnosti na telefonu, uključujući unos lozinki, MFA kodova i druge povjerljive podatke. Istraživači su potvrdili i mogućnost neovlaštenog fotografisanja žrtve pomoću prednje kamere.

Ovaj malver je naročito opasan jer su mobilni uređaji često najslabije zaštićena tačka pristupa poslovnim sistemima. Samo jedan klik na zlonamjerni link može dovesti do potpunog kompromitovanja uređaja, čime se ugrožavaju i lični i poslovni podaci. Analiza je dodatno pokazala da DroidLock napadačima omogućava daljinsku kontrolu praktično svakog dijela telefona.