Pesquisadores da Zimperium descobriram um novo malware direcionado a dispositivos Android, batizado de DroidLock, que representa uma ameaça séria aos usuários. O software malicioso é capaz de bloquear completamente a tela do celular, exigir pagamento de resgate e acessar dados sensíveis, incluindo mensagens SMS, histórico de chamadas, contatos, gravações de áudio e até apagar todos os arquivos armazenados.
De acordo com a análise, o DroidLock permite que o invasor assuma controle total do aparelho por meio de um sistema de compartilhamento VNC. Ele também consegue capturar o padrão de desbloqueio ao exibir uma sobreposição falsa, enganando o usuário. A campanha mira principalmente usuários de língua espanhola e é distribuída por sites maliciosos, que promovem aplicativos falsos parecidos com apps legítimos.
A infecção começa com um dropper, responsável por convencer o usuário a instalar um segundo aplicativo — este sim contendo o malware principal. Após a instalação, o DroidLock solicita permissões críticas, como Administrador do Dispositivo e Serviços de Acessibilidade, que permitem realizar ações abusivas: bloquear o aparelho, redefinir PIN e senha, alterar dados biométricos e até impedir que o dono legítimo recupere o acesso.
Os pesquisadores identificaram que o malware possui 15 comandos diferentes, capazes de executar ações como limpar todos os dados, ativar a câmera, silenciar o dispositivo, exibir telas falsas, restaurar configurações de fábrica e desinstalar aplicativos. Quando o comando de extorsão é ativado, o DroidLock mostra uma tela de ransomware via WebView, instruindo a vítima a contatar o invasor por um e-mail hospedado no Proton Mail. A mensagem inclui um ultimato: se o pagamento não for feito em 24 horas, todos os arquivos serão destruídos.
Embora o DroidLock não criptografe arquivos, ele utiliza o bloqueio do dispositivo e ameaça de exclusão permanente, atingindo o mesmo objetivo de um ransomware clássico: forçar o pagamento. Além disso, o malware pode capturar o padrão de desbloqueio e enviá-lo ao hacker, permitindo acesso remoto via VNC quando o aparelho está inativo.
Como integrante da App Defense Alliance, a Zimperium comunicou imediatamente o Google, e o Play Protect já consegue detectar e bloquear o DroidLock em dispositivos atualizados. Especialistas reforçam a importância de evitar a instalação de APKs fora da Google Play, verificar atentamente as permissões solicitadas por qualquer app e manter o Play Protect ativo para realizar verificações contínuas.
