DroidLock: ransomware para Android bloqueia aparelhos e rouba senhas de usuários na Espanha

DroidLock é o nome de um novo ransomware que, segundo pesquisadores da zLabs, tem colocado em risco usuários de smartphones Android na Espanha ao combinar bloqueio total do dispositivo, furto de credenciais e vigilância contínua. A campanha atualmente não mira usuários brasileiros, mas a sofisticação do código e o uso de técnicas pouco comuns em plataformas móveis despertam atenção de especialistas de segurança em todo o mundo.

DroidLock e a porta de entrada: engenharia social e instalação em dois estágios

O primeiro elemento crítico da operação envolve a maneira como o DroidLock chega ao telefone da vítima. Sites de phishing são empregados para induzir o download de um aplicativo aparentemente inofensivo, classificado pelos analistas como “dropper”. Esse instalador inicial não contém o ransomware completo, mas carrega a segunda fase da infecção. O truque de dividir o pacote em dois estágios ajuda o malware a burlar restrições de segurança do Android que detectam cargas maliciosas de grande porte.

Durante esse processo, solicita-se ao usuário a ativação dos Serviços de Acessibilidade. Embora a permissão seja originalmente destinada a recursos de usabilidade, o atacante a explora para conceder a si mesmo uma série de privilégios adicionais. Uma vez habilitada, a rotina automatiza o aceite de solicitações que, manualmente, exigiriam confirmação. Entre elas estão o acesso a SMS, registros de chamadas, contatos e captação de áudio ambiente.

Fase de bloqueio do DroidLock: tela ocupada e poder de administrador

Diferentemente de ransomwares tradicionais que criptografam cada arquivo, o DroidLock aposta em bloqueio total da interface. Depois de receber instruções do servidor de comando e controle (C2), o código exibe uma sobreposição em tela cheia que impede qualquer interação legítima com o sistema. A notificação intimida a vítima a contatar os criminosos por e-mail dentro de 24 horas, usando o número de identificação do dispositivo como referência. Caso o prazo seja ignorado, os invasores ameaçam destruir permanentemente todas as informações do aparelho.

Para reforçar o cerco, o aplicativo solicita privilégios de administrador assim que é executado. Com esse acesso elevado, os operadores conseguem alterar PINs, senhas tradicionais e até dados biométricos cadastrados, tornando inútil qualquer tentativa de desbloqueio pelo proprietário. Embora o programa não criptografe conteúdo, a posse da função de restauração de fábrica permite que os criminosos apaguem tudo com um único comando, efeito tão prejudicial quanto o sequestro convencional de arquivos.

Roubo de credenciais: overlays falsos ampliam o alcance do DroidLock

A coleta de dados sensíveis ocorre por duas abordagens principais. No primeiro método, o aplicativo dispara uma interface que reproduz com precisão a grade de pontos usada para desbloqueio por padrão. A vítima, acreditando estar na tela legítima do sistema, desenha o gesto e entrega a sequência aos atacantes, que capturam a posição exata de cada movimento.

O segundo método explora um banco de dados interno de páginas HTML projetadas para imitar aplicativos populares, como plataformas bancárias ou redes sociais. Quando o usuário abre um desses alvos, o DroidLock verifica se existe sobreposição correspondente. Se houver, substitui a aplicação real por uma réplica em tela cheia. Qualquer senha, token ou número digitado é interceptado antes que chegue ao aplicativo verdadeiro, tornando a fraude praticamente invisível em tempo real.

Monitoramento em tempo real e controle remoto via VNC

Além do bloqueio e do furto de credenciais, o malware incorpora funções de espionagem que elevam o risco para empresas e usuários que armazenam informações confidenciais no telefone. Um módulo de gravação captura continuamente tudo que é exibido na tela, converte cada frame em imagem JPEG codificada em base64 e envia o conteúdo ao servidor C2. Com isso, mensagens de autenticação multifator, conversas privadas ou documentos de trabalho podem ser lidos à distância pelos operadores.

Outro recurso alarmante é o suporte a VNC (Virtual Network Computing). A funcionalidade concede aos criminosos acesso remoto completo, permitindo não só observar, mas também interagir com o dispositivo como se estivesse fisicamente em mãos. Sob demanda do C2, é possível abrir aplicativos, modificar configurações ou mesmo instalar softwares adicionais sem que o dono perceba.

Arquitetura de comunicação: do HTTP inicial ao websocket persistente

O DroidLock se conecta ao servidor de controle em duas fases distintas. No momento da infecção, estabelece um canal HTTP simples para enviar dados de telemetria — modelo do aparelho, versão do sistema, operadora de telefonia e localização aproximada. Essas informações ajudam os atacantes a mapear o ambiente e selecionar comandos adequados.

Concluída a coleta inicial, a aplicação migra para websockets, protocolo que mantém comunicação bidirecional persistente. Por esse meio são transmitidos os 15 comandos diferentes identificados pelos pesquisadores, que incluem: exibir telas pretas e falsas notificações, silenciar o aparelho, desinstalar aplicativos específicos, ativar a câmera frontal, forçar atualização de sistema simulada e acionar o bloqueio definitivo. O mesmo canal serve para exfiltrar arquivos capturados, gravações de tela e credenciais registradas.

Alvo espanhol hoje, possível expansão amanhã

Toda a infraestrutura analisada aponta para um foco restrito em números de telefone e endereços IP espanhóis. Essa segmentação geográfica reduz o risco imediato para usuários de outros países, inclusive do Brasil. Ainda assim, a modularidade do código e o método de distribuição via sites falsos indicam que a campanha pode ser adaptada a qualquer região com relativa facilidade. Mudanças simples no idioma das mensagens ou na lista de instituições bancárias monitoradas seriam suficientes para replicar o golpe em novos mercados.

Somado a isso, o perigo vai além de uma única família de malware. A técnica de instalar um dropper, abusar dos Serviços de Acessibilidade e empregar websockets para comando remoto cria um modelo que outros cibercriminosos podem copiar.

Pesquisadores continuam monitorando os domínios de comando e controle associados à operação. Até o momento, o último alerta técnico confirmou que o DroidLock permanece ativo, aguardando instruções dos operadores e preparando-se para possíveis atualizações que possam ampliar seu alcance.