导语:安全人员建议安卓用户:若非来源绝对可信,切勿从谷歌应用商店外的渠道侧载安装APK文件。
一款名为DroidLock的新型安卓恶意软件被安全人员发现,该软件不仅能锁屏勒索受害者赎金,还可获取短信、通话记录、联系人、音频录音等信息,甚至能直接删除设备数据。
DroidLock支持攻击者通过虚拟网络计算共享系统获得设备的完全控制权,同时还能在屏幕上生成悬浮层,以此窃取用户的锁屏图案。
研究人员指出,这款恶意软件的攻击目标为西班牙语用户,其传播渠道为恶意网站——这些网站通过推广仿冒合法应用的虚假安装包,诱导用户下载安装。
据了解,该恶意软件的感染流程始于一个投放程序,它会诱骗用户安装包含核心恶意载荷的次级程序。
Loader 应用(顶部)和 DroidLock 应用(底部)
恶意应用会以“应用更新”为借口植入主恶意载荷,随后申请设备管理员权限与辅助功能权限,凭借这些权限实施各类恶意操作。
借助已获取的权限,DroidLock可执行多种恶意行为,包括清空设备数据、锁定设备、修改个人识别码(PIN)、密码或生物识别信息,以此阻止用户访问自己的设备。
分析显示,DroidLock内置15条可执行命令,涵盖发送通知、在屏幕生成悬浮层、静音设备、恢复出厂设置、启动摄像头、卸载应用等操作。
DroidLock 支持的命令
一旦接收到对应的勒索指令,该恶意软件会通过网页视图立即弹出勒索悬浮窗口,要求受害者通过一个Proton邮箱地址联系攻击者。若受害者未能在24小时内支付赎金,攻击者便威胁会永久销毁设备内的文件。
DroidLock的勒索覆盖
DroidLock并不会对文件进行加密,而是以销毁文件为要挟索要赎金,最终达成与传统勒索软件相同的目的。除此之外,攻击者还可通过修改设备锁屏密码,完全剥夺用户对设备的访问权限。
该恶意软件窃取锁屏图案的功能,是通过加载恶意安装包资源目录中的另一悬浮层实现的。当用户在这个仿冒的锁屏界面绘制解锁图案时,图案信息会被直接发送给攻击者。攻击者设计这一功能,是为了能在设备闲置时段通过VNC实现远程访问。
安全人员建议安卓用户:若非来源绝对可信,切勿从谷歌应用商店外的渠道下载安装APK文件;安装应用时,务必核查其申请的权限是否与功能匹配;同时应定期使用谷歌应用防护服务对设备进行安全扫描。
文章来源自:https://www.bleepingcomputer.com/news/security/new-droidlock-malware-locks-android-devices-and-demands-a-ransom/如若转载,请注明原文地址
