Баннер, таймер, адрес криптокошелька — всё в лучших традициях компьютерных вирусов-вымогателей.
Новая вредоносная программа для Android под названием Droidlock превращает заражённый смартфон в полностью подконтрольное злоумышленникам устройство. Программа блокирует экран вымогательским баннером, похищает коды блокировки приложений и получает доступ к данным, что в итоге позволяет провести полный захват системы.
Droidlock распространяется через фишинговые сайты и маскируется под системное обновление. На первом этапе на устройство попадает загрузчик, который убеждает владельца установить вторичный модуль с основным вредоносным кодом. Такой подход помогает обойти ограничения Android и получить доступ к специальным возможностям устройства.
После выдачи разрешений Droidlock автоматически одобряет дополнительные полномочия, включая доступ к SMS, журналу вызовов, контактам и аудиозаписи. Вредоносная программа запрашивает права администратора устройства, что даёт возможность блокировать или стирать данные, менять PIN-код, пароль или биометрические параметры, а также без предупреждений выключать звук и делать снимки с фронтальной камеры.
Обмен данными с сервером управления построен на комбинации HTTP и WebSocket. Сначала через HTTP отправляется базовая информация об устройстве для аналитики, затем с помощью WebSocket каналов Droidlock получает команды и передаёт собранные данные. Всего предусмотрено 15 типов команд для удалённого контроля.
После получения соответствующей инструкции вредоносная программа показывает на весь экран баннер через WebView. В уведомлении требуются идентификатор устройства и контакт по электронной почте, а также озвучивается угроза уничтожения файлов при отсутствии «выкупа» в течение 24 часов. Хотя Droidlock не шифрует данные, функциональность позволяет полностью очистить память смартфона, что делает угрозы вполне реальными для жертвы.
Отдельную опасность создаёт функция скрытного перехвата экрана. Droidlock работает как постоянный фоновый сервис, используя MediaProjection и VirtualDisplay для съёмки изображения дисплея. Кадры конвертируются в JPEG, кодируются в base64 и отправляются на удалённый сервер. Такой подход облегчает кражу любой конфиденциальной информации, отображаемой на экране, включая учётные записи и одноразовые коды многофакторной аутентификации. На данный момент зафиксированы атаки на пользователей в Испании, но набор возможностей Droidlock указывает на потенциал для более широкого распространения.
Для просмотра ссылки Войдиили Зарегистрируйся
Новая вредоносная программа для Android под названием Droidlock превращает заражённый смартфон в полностью подконтрольное злоумышленникам устройство. Программа блокирует экран вымогательским баннером, похищает коды блокировки приложений и получает доступ к данным, что в итоге позволяет провести полный захват системы.
Droidlock распространяется через фишинговые сайты и маскируется под системное обновление. На первом этапе на устройство попадает загрузчик, который убеждает владельца установить вторичный модуль с основным вредоносным кодом. Такой подход помогает обойти ограничения Android и получить доступ к специальным возможностям устройства.
После выдачи разрешений Droidlock автоматически одобряет дополнительные полномочия, включая доступ к SMS, журналу вызовов, контактам и аудиозаписи. Вредоносная программа запрашивает права администратора устройства, что даёт возможность блокировать или стирать данные, менять PIN-код, пароль или биометрические параметры, а также без предупреждений выключать звук и делать снимки с фронтальной камеры.
Обмен данными с сервером управления построен на комбинации HTTP и WebSocket. Сначала через HTTP отправляется базовая информация об устройстве для аналитики, затем с помощью WebSocket каналов Droidlock получает команды и передаёт собранные данные. Всего предусмотрено 15 типов команд для удалённого контроля.
После получения соответствующей инструкции вредоносная программа показывает на весь экран баннер через WebView. В уведомлении требуются идентификатор устройства и контакт по электронной почте, а также озвучивается угроза уничтожения файлов при отсутствии «выкупа» в течение 24 часов. Хотя Droidlock не шифрует данные, функциональность позволяет полностью очистить память смартфона, что делает угрозы вполне реальными для жертвы.
Отдельную опасность создаёт функция скрытного перехвата экрана. Droidlock работает как постоянный фоновый сервис, используя MediaProjection и VirtualDisplay для съёмки изображения дисплея. Кадры конвертируются в JPEG, кодируются в base64 и отправляются на удалённый сервер. Такой подход облегчает кражу любой конфиденциальной информации, отображаемой на экране, включая учётные записи и одноразовые коды многофакторной аутентификации. На данный момент зафиксированы атаки на пользователей в Испании, но набор возможностей Droidlock указывает на потенциал для более широкого распространения.
Initial Access (как злоумышленники получают начальный доступ, то есть распространяют это ВПО, чтобы жертва кликнула)
T1660 – Phishing: Атакующие создают фишинговые сайты, чтобы распространять вредоносные APK-файлы.
Persistence
T1624.001 – Event Triggered Execution: Broadcast Receivers: Создаётся приёмник широковещательных сообщений для получения событий SMS.
Privilege Escalation
T1626.001 – Abuse Elevation Control Mechanism: Device Administrator Permissions: Вредоносное ПО может выполнять сброс устройства до заводских настроек или отключать блокировку экрана.
Defense Evasion
T1655.001 – Masquerading: Match Legitimate Name or Location: Вредоносное ПО маскируется под легитимные приложения, например, под приложение Orange.
T1629.002 – Device Lockout: Вредоносное ПО может заблокировать устройство с помощью метода DevicePolicyManager.lockNow().
T1516 – Input Injection: Вредоносное ПО имитирует взаимодействие с пользователем, выполняет клики, жесты и ввод данных.
Credential Access (захват учеток жертвы)
T1517 – Access Notifications: Используется сервис NotificationListenerService для перехвата одноразовых паролей (OTP).
T1414 – Clipboard Data: Извлекает данные из буфера обмена.
T1417.001 – Input Capture: Keylogging: Использует клавиатурный шпион.
T1417.002 – Input Capture: GUI Input Capture: Захватывает информацию с экрана устройства.
Discovery
T1430 – Location Tracking: Отслеживает местоположение жертвы.
T1418 – Software Discovery: Собирает список установленных приложений.
T1426 – System Information Discovery: Собирает основную информацию о системе устройства.
Collection (что собирает данное ВПО)
T1517 – Access Notifications: Регистрирует приёмник для мониторинга входящих SMS-сообщений.
T1513 – Screen Capture: Записывает содержимое экрана.
T1512 – Capture Camera: Использует камеру устройства для съёмки.
T1429 – Audio Capture: Мьютирует устройство и может записывать аудио.
T1636.004 – Protected User Data: SMS Messages: Крадёт SMS-сообщения.
T1417.001 – Input Capture: Keylogging: Записывает нажатия клавиш.
T1417.002 – Input Capture: GUI Input Capture: Захватывает UI-данные.
T414 – Clipboard Data: Крадёт данные из буфера обмена.
Command and Control
T1481.002 – Web Service: Bidirectional Communication: Использует вебсокеты для двусторонней связи с командным сервером.
Exfiltration
T1646 – Exfiltration Over C2 Channel: Отправляет украденные данные через сервер C2.
Impact
T1516 – Input Injection: Инжектирует вредоносный контент, например, экран блокировки или логин страницы банка для кражи данных.
T1582 – SMS Control: Может читать и отправлять SMS-сообщения.
T1660 – Phishing: Атакующие создают фишинговые сайты, чтобы распространять вредоносные APK-файлы.
Persistence
T1624.001 – Event Triggered Execution: Broadcast Receivers: Создаётся приёмник широковещательных сообщений для получения событий SMS.
Privilege Escalation
T1626.001 – Abuse Elevation Control Mechanism: Device Administrator Permissions: Вредоносное ПО может выполнять сброс устройства до заводских настроек или отключать блокировку экрана.
Defense Evasion
T1655.001 – Masquerading: Match Legitimate Name or Location: Вредоносное ПО маскируется под легитимные приложения, например, под приложение Orange.
T1629.002 – Device Lockout: Вредоносное ПО может заблокировать устройство с помощью метода DevicePolicyManager.lockNow().
T1516 – Input Injection: Вредоносное ПО имитирует взаимодействие с пользователем, выполняет клики, жесты и ввод данных.
Credential Access (захват учеток жертвы)
T1517 – Access Notifications: Используется сервис NotificationListenerService для перехвата одноразовых паролей (OTP).
T1414 – Clipboard Data: Извлекает данные из буфера обмена.
T1417.001 – Input Capture: Keylogging: Использует клавиатурный шпион.
T1417.002 – Input Capture: GUI Input Capture: Захватывает информацию с экрана устройства.
Discovery
T1430 – Location Tracking: Отслеживает местоположение жертвы.
T1418 – Software Discovery: Собирает список установленных приложений.
T1426 – System Information Discovery: Собирает основную информацию о системе устройства.
Collection (что собирает данное ВПО)
T1517 – Access Notifications: Регистрирует приёмник для мониторинга входящих SMS-сообщений.
T1513 – Screen Capture: Записывает содержимое экрана.
T1512 – Capture Camera: Использует камеру устройства для съёмки.
T1429 – Audio Capture: Мьютирует устройство и может записывать аудио.
T1636.004 – Protected User Data: SMS Messages: Крадёт SMS-сообщения.
T1417.001 – Input Capture: Keylogging: Записывает нажатия клавиш.
T1417.002 – Input Capture: GUI Input Capture: Захватывает UI-данные.
T414 – Clipboard Data: Крадёт данные из буфера обмена.
Command and Control
T1481.002 – Web Service: Bidirectional Communication: Использует вебсокеты для двусторонней связи с командным сервером.
Exfiltration
T1646 – Exfiltration Over C2 Channel: Отправляет украденные данные через сервер C2.
Impact
T1516 – Input Injection: Инжектирует вредоносный контент, например, экран блокировки или логин страницы банка для кражи данных.
T1582 – SMS Control: Может читать и отправлять SMS-сообщения.
Для просмотра ссылки Войди