This content is protected against AI scraping.
Das Forschungsteam von zLabs habe eine neue Bedrohungskampagne entdeckt, die zunächst spanischsprachige Android‑Nutzer ins Visier nimmt. DroidLock, eine quasi-Ransomware, verbreitet sich über Phishing‑Websites. Sie kann den Bildschirm von Geräten mit einer ransomware‑ähnlichen Überlagerung sperren und illegal die Anmeldedaten von App‑Sperren erlangen, was zu einer vollständigen Übernahme des kompromittierten Geräts führt: Wenn die:der Benutzerin das Muster auf der geklonten Oberfläche zeichnet, wird es direkt an den Angreifer gesendet. Damit bestünde in Zeiten der Inaktivität Fernzugriff auf das Gerät.
DroidLock nutze täuschend-echte System‑Update‑Bildschirme, um Opfer zu überlisten, und könne Geräte per VNC streamen und fernsteuern. Die Malware missbrauche zudem die Administratorrechte des Geräts, um es zu sperren oder Daten zu löschen, das Bild des Opfers mit der Frontkamera aufzunehmen und das Gerät stummzuschalten. Insgesamt verwende sie 15 verschiedene Befehle, um mit ihrem C2‑Panel zu kommunizieren.
So läuft der Angriff ab
Schritt eins: Phishing mit Dropper
Die Infektion beginnt mit einem Dropper, der Benutzer:innen dazu verleitet, die sekundäre Nutzlast zu installieren, die die eigentliche Malware enthält. Mit dieser Technik kann die Malware die Android-Beschränkungen umgehen, um die Barrierefreiheitsdienste auszunutzen.
Schritt zwei: Nutzer:in erteilt Berechtigungen
Sobald das Opfer die Barrierefreiheitsberechtigung erteilt hat, genehmigt die Malware automatisch zusätzliche Berechtigungen, beispielsweise für den Zugriff auf SMS, Anrufprotokolle, Kontakte und Audio.
Schritt drei: Update-Anfrage
Die bösartigen Apps führen die Haupt-Payload über eine Update-Anfrage ein und fordern dann Berechtigungen für Geräteverwaltung und Eingabehilfen an, die es ihnen ermöglichen, betrügerische Aktivitäten durchzuführen.
Zu den möglichen Aktionen gehören das Löschen des Geräts, das Sperren des Geräts sowie das Ändern der PIN, des Passworts oder der biometrischen Daten, um den Benutzer am Zugriff auf das Gerät zu hindern.
Schritt vier: Kontaktaufnahme des Opfers zum Angreifenden
Das Ransomware-Overlay wird unmittelbar nach Erhalt des entsprechenden Befehls über WebView angezeigt und fordert das Opfer auf, sich unter einer Proton-E-Mail-Adresse an den Angreifer zu wenden. Wenn der Benutzer innerhalb von 24 Stunden kein Lösegeld zahlt, droht der Angreifer mit der dauerhaften Vernichtung der Dateien.
Zimperium stellt klar, dass DroidLock keine Dateien verschlüsselt, aber durch die Drohung, diese zu zerstören, wenn kein Lösegeld gezahlt wird, den gleichen Zweck erreicht. Darüber hinaus könne die:der Angreifer:in den Zugriff auf das Gerät verweigern, indem sie:er den Sperrcode ändert.
Als Mitglied der App Defense Alliance von Google habe Zimperium die neuen Malware-Erkenntnisse mit dem Android-Sicherheitsteam geteilt, sodass Play Protect diese Bedrohung auf aktuellen Geräten erkennt und blockiert.
Android-Nutzern wird empfohlen, keine APKs von außerhalb von Google Play zu laden, es sei denn, der Herausgeber ist eine vertrauenswürdige Quelle. Sie sollten immer überprüfen, ob die von einer App benötigten Berechtigungen ihrem Zweck dienen, und ihr Gerät regelmäßig mit Play Protect scannen.