СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.12.2025
#ИБ

DroidLock: новый Android-вымогатель через фишинговые сайты и наложения

DroidLock — недавно выявленная программа-вымогатель, ориентированная на испанских пользователей Android. В отчёте описывается сложная кампания, в которой вредоносное ПО проникает на устройства через фишинговые веб‑сайты и использует набор техник для обхода стандартных ограничений платформы и длочного контроля над устройствами.

Как происходит заражение

Атака начинается с дроппера, который обманом заставляет пользователя установить основную полезную нагрузку. Для обхода ограничений Android злоумышленники используют запросы разрешений администратора устройства и служб специальных возможностей. После установки вредоносное ПО:

  • требует права администратора устройства и доступа к Accessibility services;
  • создаёт полноэкранные накладки, имитирующие легальные приложения или системные обновления;
  • принуждает пользователя раскрыть личные данные или связаться с атакующим по электронной почте.

Технические возможности и поведение

По данным отчёта, функционал DroidLock включает широкий набор возможностей, обеспечивающих сбор данных и удалённый контроль:

  • создание полноэкранных и «двойных» наложений (double overlay), скрывающих UI легальных приложений и препятствующих взаимодействию пользователя;
  • запись экрана и фиксация действий пользователя, включая нажатия клавиш и уведомления;
  • перехват вводимых данных и извлечение данных из буфера обмена;
  • отслеживание SMS, мониторинг местоположения, доступ к камере и микрофону;
  • сбор системной информации и списка установленных приложений;
  • возможность непрерывного выполнения команд, получаемых с сервера Command & Control (C2).

Коммуникации с Command & Control

Вредоносное ПО взаимодействует с C2-сервером с использованием как HTTP, так и websockets. По описанию:

  • сессия начинается с HTTP‑соединения для отправки базовой аналитической информации об устройстве;
  • после этого связь переключается на websocket для приёма команд и передачи данных в реальном времени;
  • архитектура предполагает устойчивый канал связи, позволяющий серверу C2 постоянно управлять заражённым устройством.

Методы уклонения и соответствие MITRE ATT&CK

DroidLock демонстрирует приёмы маскировки под законные приложения, чтобы затруднить обнаружение и убедить пользователя предоставить критические права. По классификации, части поведения вредоноса соответствуют техникам из MITRE ATT&CK:

  • Initial Access — фишинг через вредоносные веб‑страницы;
  • Persistence — использование широковещательных приёмников (broadcast receivers) для закрепления;
  • Privilege Escalation, Defense Evasion и Credential Access — перехват вводимых данных, извлечение из буфера обмена и сбор системной информации;
  • Discovery — перечисление установленного ПО и сбор метаданных устройства.

Обнаружение и рекомендации

«Мобильные платформы защиты от угроз, такие как Zimperium, продемонстрировали способность обнаруживать DroidLock в режиме реального времени», — отмечают авторы отчёта.

Тем не менее, сложность методов DroidLock подчёркивает важность внимательного поведения пользователей и использования многоуровневой защиты. Рекомендации для пользователей и организаций:

  • не устанавливать приложения с непроверенных веб‑сайтов и не предоставлять права администратора или Accessibility неизвестным приложениям;
  • использовать проверенные мобильные решения для защиты и вовремя устанавливать обновления системы;
  • быть внимательными к полноэкранным наложениям и фишинговым поддельным экранам, предлагающим «обновления» или запросы персональных данных;
  • при подозрительных действиях устройства — изолировать устройство и обратиться к специалистам по безопасности.

Вывод

DroidLock представляет собой многофункциональную угрозу для Android‑устройств: сочетание фишинга, злоупотребления правами Accessibility и мощного C2‑механизма делает его способным к длительному контролю и краже конфиденциальных данных. Несмотря на способность некоторых платформ (включая Zimperium) обнаруживать угрозу в реальном времени, ключевую роль по‑прежнему играет осторожность пользователей и своевременное применение средств защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: