Un malware Android recién descubierto llamado DroidLock puede bloquear las pantallas de las víctimas para pedir rescate y acceder a mensajes de texto, registros de llamadas, contactos, grabaciones de audio o incluso borrar datos.
DroidLLock permite a su operador tomar el control total del dispositivo a través del sistema de compartición VNC y puede robar el patrón de bloqueo colocando una superposición en la pantalla.
Según investigadores de la empresa de seguridad móvil Zimperium, el malware tiene como objetivo a usuarios hispanohablantes y se distribuye a través de sitios web maliciosos que promocionan aplicaciones falsas que se hacen pasar por paquetes legítimos.
En un informe de hoy, Zimperium afirma que la «infección comienza con un gotero que engaña al usuario para que instale la carga útil secundaria que contiene el malware real.»

Fuente: Zimperium
Las aplicaciones maliciosas introducen la carga principal mediante una solicitud de actualización y luego solicitan permisos de Administrador de Dispositivos y Servicios de Accesibilidad, lo que les permite realizar actividades fraudulentas.
Algunas de las acciones que puede tomar son borrar el dispositivo, bloquearlo, cambiar el PIN, la contraseña o los datos biométricos para impedir que el usuario acceda al dispositivo.
El análisis de Zimperium descubrió que DroidLock soporta 15 comandos que le permiten enviar notificaciones, colocar una superposición en la pantalla, silenciar el dispositivo, restablecerlo a la configuración de fábrica, iniciar la cámara o desinstalar aplicaciones.

Fuente: Zimperium
La superposición de ransomware se envía a través de WebView inmediatamente después de recibir el comando correspondiente, indicando a la víctima que contacte con el actor de la amenaza en una dirección de correo electrónico de Proton. Si el usuario no paga un rescate en 24 horas, el actor amenaza con destruir permanentemente los archivos.
Zimperium aclara que DroidLock no cifra archivos, pero al amenazar con destruirlos a menos que se pague un rescate, se logra el mismo propósito. Además, el actor de la amenaza puede denegar el acceso al dispositivo cambiando el código de bloqueo.
DroidLock puede robar el patrón de bloqueo a través de otra superposición cargada desde los activos del APK malicioso. Cuando el usuario dibuja el patrón en la interfaz clonada, lo envía directamente al atacante. El propósito de esta función es permitir el acceso remoto al dispositivo a través de VNC en tiempos de inactividad.
Siendo miembro de la App Defense Alliance de Google, Zimperium comparte nuevos hallazgos de malware con el equipo de seguridad de Android, por lo que Play Protect detecta y bloquea esta amenaza en dispositivos actualizados.
Se recomienda a los usuarios de Android no instalar APKs fuera de Google Play a menos que el editor sea una fuente confiable. Siempre deben comprobar si los permisos requeridos por una aplicación cumplen sus propósitos y escanear periódicamente su dispositivo con Play Protect.
Fuente: Bleeping Computer
