Владельцы смартфонов на базе Android столкнулись с новой угрозой — вымогателем под названием DroidLock.
Как сообщает Bleeping Computer, эта вредоносная программа способна похитить практически любые данные с устройства: историю переписки и звонков, контакты, аудиозаписи. По команде злоумышленников программа требует у пользователя выкуп, угрожая в случае отказа полностью очистить внутреннюю память гаджета.
Угроза была обнаружена экспертами компании Zimperium, специализирующейся на мобильной безопасности. Вредонос нацелен на испаноговорящих пользователей Android и распространяется через поддельные сайты, которые рекламируют вредоносные приложения, маскирующиеся под легальный софт.
DroidLock позволяет злоумышленникам получить полный удалённый контроль над устройством через систему VNC (Virtual Network Computing), а также перехватить графический ключ для разблокировки экрана.
После установки и запуска компактное приложение-дроппер загружает основной вредоносный модуль. Для этого оно запрашивает у пользователя разрешение на обновление и доступ к службам специальных возможностей (Accessibility API). Предоставление этих прав в дальнейшем позволяет злоумышленникам свободно управлять устройством.
Основной модуль обладает широким набором функций, включая очистку памяти, блокировку смартфона, изменение PIN-кода, пароля или биометрических данных, используемых для разблокировки.
По данным Zimperium, DroidLock поддерживает до 15 команд для управления устройством: вывод уведомлений, наложение оверлея на экран, отключение звука, сброс к заводским настройкам, активацию камеры, а также удаление указанных приложений.
При получении команды на отображение оверлея на экране через компонент WebView появляется сообщение для пользователя. Текст размещается на красном фоне, содержит пометку «Срочно», таймер обратного отсчёта и требование связаться с операторами вредоноса по электронной почте Proton для выплаты выкупа. В случае отказа злоумышленники угрожают безвозвратно удалить все данные с устройства. На переговоры отводится 24 часа.
Как отмечает Zimperium, в отличие от многих программ-вымогателей для ПК и серверов, DroidLock не шифрует файлы. Однако угроза полной потери данных оказывает на жертв не меньшее давление. Кроме того, по команде оператора вредонос может изменить код разблокировки телефона на неизвестный владельцу.
Кроме того, DroidLock может похитить графический пароль, используемый для защиты мобильных устройств. Вредоносная программа получает к нему доступ с помощью атаки типа наложения. В процессе этого приложение запускает активное окно, являющееся полной копией настоящего экрана блокировки телефона, которое записывает касания и движения пользователя для последующей отправки злоумышленнику.
Впоследствии эти данные применяются для беспрепятственного удалённого доступа хакеров к гаджету в моменты, когда владелец им не пользуется.
По информации Bleeping Computer, «Google Play Защита» — встроенный в магазин приложений Google Play механизм безопасности — обнаруживает и останавливает DroidLock на устройствах с обновлённым программным обеспечением.
Специалисты Zimperium советуют крайне внимательно относиться к APK-файлам (Android Package Kit), загруженным из непроверенных источников, предоставлять программам разрешения только к тем функциям Android, которые действительно нужны для их функционирования, а также регулярно проверять устройство с помощью Play Protect.
APK-файл представляет собой формат, который применяется операционной системой Android для распространения и инсталляции мобильных приложений.
Как уже писал CNews, с января по октябрь 2025 года у клиентов российских банков было похищено не менее 1,6 млрд рублей посредством вредоносного ПО NFCGate, позволяющего удалённо управлять чужим смартфоном и создавать виртуальные копии банковских карт. С начала 2025 года было зарегистрировано не менее 56 тысяч подобных кибератак.
Согласно данным УБК МВД России, в декабре 2025 года злоумышленники маскируют вредоносные APK-файлы под безобидные архивы с изображениями. Как сообщал CNews, цель этой кибероперации — скрыть вредоносное приложение под видом чего-то безопасного и полезного, чтобы убедить пользователя-жертву его установить. Внутри таких файлов скрывается вредоносная программа Mamont, способная скрытно собирать информацию и удалённо управлять мобильным устройством.
