Исследователи компании Zimperium обнаружили новое вредоносное ПО для Android под названием DroidLock, предназначенное для блокировки устройств, кражи данных и вымогательства денег. Программа нацелена в первую очередь на испаноязычных пользователей и распространяется через поддельные сайты, имитирующие легитимные приложения.
Заражение начинается с установки загрузчика, который под видом обновления внедряет основную вредоносную нагрузку. После получения прав администратора устройства и доступа к службам специальных возможностей DroidLock получает практически полный контроль над смартфоном. Он поддерживает 15 команд, включая блокировку экрана, сброс настроек до заводских, удаление приложений, запуск камеры и вывод на экран фишингового окна с требованием выкупа.
Особенностью угрозы является способность красть графический ключ блокировки. Для этого на экран накладывается поддельный интерфейс разблокировки, который передает введенный пользователем паттерн напрямую злоумышленнику. Это позволяет получить удаленный доступ к устройству через систему VNC в периоды его бездействия. Хотя программа не шифрует файлы, она угрожает их полным удалением, если выкуп не будет переведен в течение 24 часов.
Как член альянса Google App Defense Alliance, Zimperium уже передала данные об угрозе команде безопасности Android. Система Play Protect теперь обнаруживает и блокирует DroidLock на современных устройствах.
Ранее хакеры заявили о взломе российской компании «Микорд».
