24 horas para pensarlo: el troyano Droidlock borrará tu smartphone si no pagas el rescate
Banner, cuenta atrás y dirección de monedero de criptomonedas: todo al más puro estilo del ransomware.
Un nuevo programa malicioso para Android llamado Droidlock convierte el smartphone infectado en un dispositivo completamente controlado por los atacantes. El programa bloquea la pantalla con un banner de rescate, roba los códigos de bloqueo de aplicaciones y obtiene acceso a los datos, lo que finalmente permite una toma total del sistema.
Según la empresa Zimperium, Droidlock se propaga a través de sitios de phishing y se oculta como una actualización del sistema. En la primera fase, en el dispositivo se instala un cargador que convence al propietario de instalar un módulo secundario con el código malicioso principal. Este enfoque ayuda a eludir las restricciones de Android y a obtener acceso a funcionalidades especiales del dispositivo.
Tras la concesión de permisos, Droidlock aprueba automáticamente permisos adicionales, incluyendo el acceso a SMS, el registro de llamadas, los contactos y las grabaciones de audio. El programa malicioso solicita privilegios de administrador del dispositivo, lo que permite bloquear o borrar datos, cambiar el PIN, la contraseña o los parámetros biométricos, así como silenciar el dispositivo sin aviso y tomar fotos con la cámara frontal.
El intercambio de datos con el servidor de control se basa en una combinación de HTTP y WebSocket. Primero, por HTTP se envía información básica del dispositivo para análisis; después, mediante canales WebSocket, Droidlock recibe comandos y transmite los datos recopilados. Se contemplan 15 tipos de comandos para el control remoto.
Tras recibir la instrucción correspondiente, el programa malicioso muestra un banner a pantalla completa mediante WebView. En la notificación se solicita el identificador del dispositivo y un contacto de correo electrónico, y se amenaza con la destrucción de archivos si no se paga el 'rescate' en un plazo de 24 horas. Aunque Droidlock no cifra los datos, su funcionalidad permite borrar por completo la memoria del smartphone, lo que hace que las amenazas sean muy reales para la víctima.
Una amenaza adicional es la función de captura de pantalla encubierta. Droidlock funciona como un servicio permanente en segundo plano, usando MediaProjection y VirtualDisplay para capturar la imagen de la pantalla. Los fotogramas se convierten a JPEG, se codifican en base64 y se envían a un servidor remoto. Este método facilita el robo de cualquier información confidencial mostrada en la pantalla, incluidas cuentas y códigos de un solo uso de autenticación multifactor. Hasta ahora se han registrado ataques contra usuarios en España, pero el conjunto de capacidades de Droidlock apunta al potencial de una propagación más amplia.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!