IT之家12月11日消息,科技媒体bleepingcomputer昨日(12月10日)发布博文,报道称名为DroidLock的新型安卓恶意软件已肆虐网络,会锁定手机并勒索赎金,威胁在24小时内删除文件。
该恶意软件由移动安全公司Zimperium最先发现,目前主要针对西班牙语用户,通过恶意网站分发。攻击者利用伪装成合法应用的“Dropper”(释放器)欺骗用户下载,随后弹窗提示“系统更新”,诱导用户安装包含真正恶意代码的Payload(有效载荷)。这一多阶段感染策略,让其极易绕过普通用户的警惕防线。
DroidLock被安装后会立即索取“设备管理器”和“无障碍服务”两项高危权限。获得授权后,该软件能执行多达15种恶意指令,包括静音设备、启动摄像头、卸载应用及窃取短信和通话记录。IT之家附上该恶意软件能实现的恶意指令如下:
DroidLock支持的命令
更为致命的是,它利用VNC(虚拟网络计算)系统建立远程连接,允许攻击者在设备闲置时完全接管手机。此外,它还能生成一个透明的弹窗,当用户在屏幕上绘制解锁图案后,直接窃取该图案并发送给攻击者。
与传统勒索软件不同,DroidLock并不加密用户文件,而是采用“锁屏勒索”策略。它通过WebView加载一个全屏覆盖层,阻断用户对手机的任何操作,并修改设备的PIN码或生物识别数据,彻底锁死手机。
攻击者在勒索界面留下Proton邮箱地址,威胁受害者若不在24小时内支付赎金,将永久删除设备内的所有文件,这种手段利用用户的恐慌心理,达到了与加密勒索相同的敲诈目的。
DroidLock的勒索软件弹窗
作为Google应用防御联盟(AppDefenseAlliance)的成员,Zimperium已将DroidLock的特征码同步给Android安全团队,目前开启了GooglePlayProtect的设备已能自动检测并拦截此威胁。
安全专家建议,用户应坚决避免从非GooglePlay商店“侧载(Side-load)”应用,同时需警惕任何请求“无障碍服务”权限的非必要应用,定期扫描设备以确保安全。
