Identificado por pesquisadores da zLabs, o DroidLock é um novo ransomware que ataca usuários Android na Espanha através de sites de phishing. Este malware se destaca pela sua capacidade de bloquear completamente a tela do dispositivo, roubar credenciais de aplicativos e assumir o controle total do celular da vítima. Atualmente, os principais alvos são usuários Android espanhóis, sem risco direto para usuários brasileiros.
Como o DroidLock Opera
O ataque do DroidLock se desenvolve em duas fases. Inicialmente, um aplicativo “dropper” induz o usuário a instalar uma segunda carga maliciosa, contendo o ransomware propriamente dito. Essa abordagem permite ao malware contornar as restrições do Android e explorar os Serviços de Acessibilidade.
Ao obter as permissões de acessibilidade – muitas vezes concedidas sem que a vítima perceba a extensão da autorização –, o DroidLock automaticamente aprova outras permissões, como acesso a SMS, registros de chamadas, contatos e áudio.
Diferente dos ransomwares que criptografam arquivos, o DroidLock exibe uma tela de aviso em sobreposição, cobrindo todo o display do aparelho, após receber comandos de seu servidor de comando e controle (C2). A mensagem exige que a vítima entre em contato com os atacantes por e-mail em até 24 horas, usando o ID do dispositivo. A ameaça é de destruir todos os arquivos caso o prazo não seja cumprido. Embora o malware não criptografe dados, ele é capaz de apagar todo o conteúdo do dispositivo por meio de uma restauração de fábrica forçada.
Adicionalmente, o DroidLock solicita privilégios de administrador do dispositivo logo na instalação. Com essas permissões elevadas, os criminosos conseguem bloquear o aparelho, alterar PINs, senhas e dados biométricos, impedindo o acesso legítimo do usuário ao seu celular.
Controle e Vigilância Avançados
Análises técnicas indicam que o DroidLock mantém uma comunicação constante com seu servidor C2, aguardando comandos dos atacantes. O malware pode executar até 15 comandos distintos, cada um projetado para maximizar o controle sobre o dispositivo infectado.
As funcionalidades incluem:
- Exibição de telas pretas para bloquear a interação do usuário.
- Envio de notificações falsas.
- Silenciamento do dispositivo.
- Desinstalação de aplicativos específicos.
- Ativação da câmera frontal para captura de imagens da vítima.
Um dos comandos mais sofisticados permite ao DroidLock exibir uma tela falsa de atualização do sistema Android, orientando as vítimas a não desligarem ou reiniciarem o aparelho. Esta tática visa impedir qualquer interrupção enquanto as operações maliciosas são executadas em segundo plano.
Estratégias para Roubo de Credenciais
Para roubar credenciais e padrões de desbloqueio, o DroidLock emprega dois métodos principais:
- Utiliza uma interface no próprio aplicativo que simula a tela de padrão de desbloqueio do Android, registrando os movimentos da vítima.
- Mantém um banco de dados local com páginas HTML falsas que replicam aplicativos legítimos. Ao identificar que a vítima abriu um aplicativo-alvo (como apps bancários ou de redes sociais), o DroidLock exibe uma sobreposição em tela cheia com a página falsa.
Essa técnica, que explora os Serviços de Acessibilidade, permite ao malware capturar credenciais de login, senhas bancárias e outras informações sensíveis de forma discreta.
Gravação de Tela e Controle Remoto
O DroidLock também integra capacidades de vigilância avançadas, podendo gravar continuamente a tela do dispositivo. As imagens são convertidas para JPEG (base64) e enviadas ao servidor dos atacantes. Isso expõe a risco informações sensíveis como códigos MFA, conversas privadas e dados bancários.
Adicionalmente, o malware suporta controle remoto via VNC (Virtual Network Computing), concedendo aos criminosos a capacidade de visualizar e interagir com o dispositivo em tempo real, como se estivessem fisicamente com ele.
Comunicação com o Servidor de Comando e Controle (C2)
A comunicação do DroidLock com seu servidor C2 ocorre em duas etapas:
- Primeiramente, uma conexão HTTP é estabelecida para enviar dados básicos do dispositivo (modelo, versão do Android, operadora e localização).
- Em seguida, o malware migra para uma comunicação via WebSocket, um protocolo bidirecional em tempo real. Esta conexão persistente permite ao DroidLock receber comandos dos atacantes e transmitir continuamente dados roubados, como SMS interceptados, histórico de chamadas, contatos e credenciais.
Atualmente, o DroidLock visa especificamente usuários Android na Espanha, mantendo o risco imediato para brasileiros baixo.
