Поделиться
Новый Android-троян полностью захватывает смартфон и требует срочный выкуп под угрозой уничтожения всех данных
Специалисты в области мобильной безопасности обнаружили новый троян для Android с широким набором функций. Она устанавливает полный контроль над смартфоном, способна украсть практически любоую информацию, включая PIN-код, пароль или графический ключ, используемые для разблокировки гаджета. Кроме того, новый вредонос используется для вымогания денег – жертвам обещают удалить все данные с гаджета, если она в течение 24 часов не свяжатеся со злоумышленниками и не заплатит выкуп.Новый Android-вредонос
Пользователей мобильной операционной системы Android атакует новая опасная вредоносная программа-вымогатель DroidLock.
По сообщению Bleeping Computer, она способна похитить практически любую информацию, хранящуюся в смартфоне, в том числе содержимое переписки пользователя и журнала вызовов, список контактов, аудиозаписи. По желанию оператора ПО потребует у пользователя выкуп, пригрозив очистить внутренний накопитель девайса в случае отказа.
Новый вредонос обнаружили специалисты компании Zimperium, работающей в сфере мобильной безопасности. Он нацелен на атаку испаноговорящих владельцев Android-смартфонов и распространяется через сайты, созданные злоумышленниками и используемые для продвижения вредоносных приложений, которые маскируются под легитимные.
DroidLock позволяет оператору установить полный контроль над мобильным устройством посредством системы удаленного доступа VNC (Virtual Network Computing), а также заполучить графический ключ, необходимый для разблокировки экрана смартфона.
Будучи установленным и запущенным, такое компактное приложение-дроппер в дальнейшем подгружает основную часть кода, несущую вредоносную функциональность. Для этого оно запрашивает у пользователя разрешение на обновление и доступ к API «специальных возможностей» (Accessibility). Выдача этих разрешений в дальнейшем позволяет злоумышленникам манипулировать устройством по своему усмотрению.
Что умеет вредонос
Основная часть вредоноса имеет довольно обширный набор функций, в том числе удаление содержимого накопителя и блокировка смартфона, изменение PIN-кода, пароля или хранящихся в устройстве биометрических данных пользователя, применяемых для его разблокировки.
По информации Zimperium, DroidLockg поддерживает в общей сложности 15 команд для управления смартфоном: вывод уведомления, размещение оверлея на экране, глушение звука, сброс до заводских настроек, запуск камеры, а также удаление заданного приложения с устройства.
Функциональность вымогателя
При получении команды на отображение оверлея на экран смартфона посредством компонента WebView выводится сообщение, адресованное пользователю. Его текст размещается поверх фона красного цвета, содержит пометку «Срочно» (“Urgent”), таймер обратного отсчета и требование связаться с операторами зловреда по электронной почте, зарегистрированной в сервисе Proton, и заплатить выкуп. В случае отказа злоумышленники угрожают удалить с устройства все данные, без возможности их последующего восстановления. На переговоры с хакерами пользователю дается 24 часа.
Как отмечает Zimperium, шифровать файлы, как это делают многие другие программы-вымогатели, ориентированные на атаку ПК и северов, DroidLock не умеет. Впрочем, угроза потери все данных оказывает на жертв ничуть не меньшее давление. Кроме того, вредонос по инициативе оператора может сменить код разблокировки телефона на неизвестный пользователю.
Хищение графического ключа
Наконец, DroidLock способен на кражу графического ключа, которым защищен смартфоны. Доступ к нему вредоносное ПО получает за счет атаки типа overlaying. В ее ходе приложение открывает активное окно, представляющее собой точную копию легитимного экрана блокировки смартфона, которое фиксирует нажатия и жесты пользователя для дальнейшей передачи злоумышленнику.
В дальнейшем эта информация используется для беспрепятственного удаленного доступа хакеров к устройству в периоды отсутствия активности со стороны пользователя.
Будьте осторожны
Как отмечает Bleeping Computer, «Google Play Защита» – встроенная в приложение магазина Google Play системы обеспечения безопасности – выявляет и блокирует DroidLock на устройствах, ПО которых находится в актуальном состоянии.
Эксперты Zimperium рекомендуют с особой осторожностью относиться к APK-пакетам (Android Package Kit), полученным из сторонних источников, выдавать приложениям доступ только к тем функциям Android, которые действительно им необходимы для работы, а также периодически проводить проверку девайса при помощи Play Protect.
APK-файл — это формат файла, используемый операционной системой (ОС) Android для распространения и установки мобильных приложений.
Как ранее сообщил CNews, с января по октябрь 2025 г. у клиентов российских банков украли не менее 1,6 млрд руб. с помощью вредоносного программного обеспечения NFCGate, позволяющего дистанционно управлять чужим смартфоном и делать виртуальные клоны банковских карт. С начала 2025 г. было зафиксировано не менее 56 тыс. таких кибератак.
Согласно информации УБК МВД России, в декабре 2025 г. злоумышленники маскируют вредоносные APK файлы под безопасные архивы изображений. Как писал CNews, цель данной кибероперации заключается в том, чтобы замаскировать зловредное приложение под нечто безобидное и важное, чтобы побудить пользователя-жертву к установке. Внутри этих файлов скрывается вредоносное программное обеспечение Mamont, способное тайно собирать информацию и удаленно управлять мобильным устройством.
Поделиться
Короткая ссылка
