DroidLockマルウェアはAndroidマシンのロックを命じることができます
了解しました。DroidLockマルウェアはAndroidマシンをログに記録して、被害者を身代金で要求することができます。
マシンや身代金ファイルをキャプチャするマルウェア、またはランサムウェアは通常、暗号化を使用してファイルをロックし、所有者に身代金を支払わせますが、この場合は異なります。
ウェブサイトCyber Security Newsによる報告によると、スペイン語圏のAndroidオペレーティングシステム上の一群の携帯電話ユーザーに焦点を当てた新しいマルウェアキャンペーンが検出されました。このマルウェアはDroidLockと呼ばれ、マルウェアに依存したランサムマシンをログに記録する能力を持っています。マルウェアには明確なタイプはありませんが、上記で言及されたランサムウェアと同様の振る舞いをします。さらに、マルウェアは制御を取得し、多くのデータを盗む能力を持っており、ユーザーレベルと企業レベルの両方のデバイスに損害を与えることができます。
検出は、携帯電話のセキュリティの専門家であるジンペリウムの研究チームによって行われました。研究チームは、マルウェアが有名なアプリケーションインストーラーをなりすましていることを明らかにしました。被害者をインストールした後、アプリケーションはドロッパーとして機能します。管理者または管理者レベルでシステムへのアクセスを要求し、Disabled Assistance ModeまたはAccessibility Modeへのアクセスを要求し、HTTPとWebSocketの2つのチャネルを介してC 2またはCommand and Controlサーバーに連絡します。これにより、マルウェアは盗まれたデータをハッカーに送信し、サーバーからコマンドを実際立って受信することができます。
研究チームはまた、銀行口座の盗難や銀行トロイの木馬などのマルウェアタイプに似たマシン上のデータを盗む能力を明らかにしました。
機械または銀行アプリのロックを解除するために使用されるパターンハンドルを使用すると、このハンドルはマルウェアコードに直接接続されます。画面がロック解除されるか、銀行アプリが使用されるとすぐにアクティブになります。オーバーレイ攻撃の形で画面をオーバーレイしてロック解除します。
偽のアプリケーション画面とHTMLベースの画面コードを積み重ねることによるデータ窃盗。ソースはコードが何を使用しているかは明らかにしていませんが、WebView��を介して使用されることが予想されています。このコードは、アクセスコードの窃盗をだますために銀行アプリケーションの模倣画面を積み重ねます。マルウェアは、開いているアプリケーションと利用可能なリストを比較します。一致する場合、マルウェアはアプリに似た偽の画面を取得します。
それだけでなく、マルウェアは画面ロギングツールを使用してパスワード、OTPまたはワンタイムパスワード、認証コードなどの重要な情報をキャプチャし、カメラを使用してユーザーを秘密裏に撮影することもできます。
そして、その名前から来る最も悪質な能力は、身代金画面で画面をロックすることです。ユーザーが指定された時間内に支払いをしない場合、彼はマシン上のすべてのデータを削除します。このマルウェアが通常のランサムウェアと異なる点は、マルウェアがファイルをロックするために暗号化(暗号化)する必要がないことです。なぜなら、マルウェアは工場出荷時のデフォルト機能または工場出荷時のリセットにアクセスできるため、被害者が条件に従わなかった後、マシンが新しく購入した状態に戻り、マシン内にデータがないからです。
จากประสบการณ์ที่ติดตามข่าวและศึกษาปัญหาด้านความปลอดภัยบนโทรศัพท์มือถือ พบว่า มัลแวร์ DroidLock มีลักษณะพิเศษตรงที่ใช้วิธีการล็อกเครื่องและบังคับให้เหยื่อต้องจ่ายค่าไถ่ โดยไม่เข้ารหัสข้อมูลเหมือน Ransomware ทั่วไป แต่ใช้วิธีเข้าถึงสิทธิ์ระดับผู้ดูแลระบบและโหมดช่วยเหลือผู้พิการเพื่อควบคุมการทำงานของเครื่องอย่างเต็มรูปแบบ สิ่งที่น่ากลัวคือมัลแวร์ตัวนี้สามารถแอบบันทึกหน้าจอขณะผู้ใช้ปลดล็อกหรือเปิดแอปธนาคาร พร้อมซ้อนหน้าจอปลอมแอบขโมยรหัสผ่านและข้อมูลสำคัญต่างๆได้อย่างเนียนมาก เช่น การทำ Overlay Attacks และใช้โค้ด HTML ผ่าน WebView เพื่อหลอกขโมยข้อมูลรหัสผ่านของแอปพลิเคชันธนาคารและแอปอื่นที่เกี่ยวข้อง นอกจากนี้ DroidLock ยังสามารถบันทึกข้อมูลรหัส OTP หรือรหัสยืนยันตัวตนที่แสดงบนหน้าจอ รวมถึงแอบใช้กล้องถ่ายภาพผู้ใช้งานเพื่อเก็บหลักฐานหรือใช้ในการโจมตีในอนาคต เรียกได้ว่าครบวงจรความร้ายกาจของมัลแวร์ที่ส่งผลกระทบได้ทั้งผู้ใช้ทั่วไปและองค์กร สิ่งที่ควรระวังอย่างยิ่งคือการติดตั้งแอปจากแหล่งที่ไม่น่าเชื่อถือ เพราะ DroidLock โดยมากปลอมตัวเป็นตัวติดตั้งแอปชื่อดังหรือแอปทั่วไปที่ดูน่าเชื่อถือ ส่งผลให้เครื่องถูกติดตั้งมัลแวร์และได้สิทธิ์ครบถ้วนในการควบคุมเครื่องทันที อย่างไรก็ตาม การป้องกันที่ดีที่สุดคือหลีกเลี่ยงการเปิดใช้งานสิทธิ์ผู้ดูแลระบบหรือโหมดช่วยเหลือผู้พิการกับแอปที่ไม่น่าเชื่อถือ และใช้แอปความปลอดภัยที่อัปเดตเสมอเพื่อสแกนและตรวจจับความผิดปกติ พร้อมทั้งทำการสำรองข้อมูลสำคัญเป็นประจำ เพื่อเตรียมรับมือหากเกิดเหตุเครื่องถูกล็อกหรือข้อมูลถูกทำลาย สุดท้ายการรับรู้และเข้าใจถึงวิธีการทำงานของมัลแวร์แบบ DroidLock จะช่วยให้เราตื่นตัวและป้องกันตัวเองได้ดียิ่งขึ้นในยุคที่มัลแวร์ซับซ้อนและอันตรายมากขึ้นเรื่อยๆ