12 月 11 日消息,科技媒体 bleepingcomputer 昨日(12 月 10 日)发布博文,报道称名为 DroidLock 的新型安卓恶意软件已肆虐网络,会锁定手机并勒索赎金,威胁在 24 小时内删除文件。
该恶意软件由移动安全公司 Zimperium 最先发现,目前主要针对西班牙语用户,通过恶意网站分发。攻击者利用伪装成合法应用的“Dropper”(释放器)欺骗用户下载,随后弹窗提示“系统更新”,诱导用户安装包含真正恶意代码的 Payload(有效载荷)。这一多阶段感染策略,让其极易绕过普通用户的警惕防线。
DroidLock 被安装后会立即索取“设备管理器”和“无障碍服务”两项高危权限。获得授权后,该软件能执行多达 15 种恶意指令,包括静音设备、启动摄像头、卸载应用及窃取短信和通话记录。IT之家附上该恶意软件能实现的恶意指令如下:
DroidLock 支持的命令 更为致命的是,**它利用 VNC(虚拟网络控制台)系统建立远程连接,允许攻击者在设备闲置时完全接管手机。**此外,它还能生成一个透明的弹窗,当用户在屏幕上绘制解锁图案后,直接窃取该图案并发送给攻击者。
与传统勒索软件不同,DroidLock 并不加密用户文件,而是采用“锁屏勒索”策略。它通过 WebView 加载一个全屏覆盖层,阻断用户对手机的任何操作,并修改设备的 PIN 码或生物识别数据,彻底锁死手机。
攻击者在勒索界面留下 Proton 邮箱地址,威胁受害者若不在 24 小时内支付赎金,将永久删除设备内的所有文件,这种手段利用用户的恐慌心理,达到了与加密勒索相同的敲诈目的。
DroidLock 的勒索软件弹窗 作为 Google 应用防御联盟(App Defense Alliance)的成员,Zimperium 已将 DroidLock 的特征码同步给 Android 安全团队,目前开启了 Google Play Protect 的设备已能自动检测并拦截此威胁。
安全专家建议,用户应坚决避免从非 Google Play 商店“侧载(Side-load)”应用,同时需警惕任何请求“无障碍服务”权限的非必要应用,定期扫描设备以确保安全。