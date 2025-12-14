I ricercatori di Zimperium hanno individuato un nuovo pericoloso malware per Android. Anche se non cifra i file, DroidLock viene classificato come ransomware perché impedisce l’accesso al dispositivo e l’utente vede la richiesta di riscatto sulla schermata di blocco. I cybercriminali possono anche sfruttare il controllo remoto.

Funzionalità di DroidLock

La catena di infezione inizia con un attacco di phishing che invita l’ignara vittima a scaricare app simili a quelle legittime da siti web, quindi all’esterno del Google Play Store (sideloading). L’app fasulla sembra innocua. All’avvio viene chiesto all’utente di scaricare un aggiornamento, per il quale sono necessari i permessi di accessibilità e di amministratore. L’update è ovviamente DroidLock.

Il malware può visualizzare una schermata di login simile a quelle delle app bancarie installate per rubare le credenziali oppure nove puntini per rubare la sequenza di sblocco. Può inoltre registrare lo schermo, quindi intercettare l’inserimento di password e codici dell’autenticazione multi-fattore. Per nascondere le attività in background viene mostrata una falsa schermata di aggiornamento per Android.

Altre funzionalità sono: disattivazione del lock screen, ripristino delle impostazioni di fabbrica, keylogging, accesso a fotocamera e microfono, tracciamento della posizione e simulazione di input (tap, gesture). La particolarità di DroidLock è quella di visualizzare una schermata di blocco con il messaggio tipico di un ransomware.

È presente un conto alla rovescia di 24 ore, entro le quali la vittima deve contattare i cybercriminali via email (Proton). Alla scadenza delle 24 ore, tutti i file verranno distrutti se non verrà effettuato il pagamento del riscatto. In pratica, DroidLock è un mix di trojan bancario, infostealer, keylogger, spyware e wiper.

Google ha aggiornato Play Protect, quindi le app infette vengono rilevate e bloccate. Gli utenti non devono mai scaricare app da fonti sconosciute e mai concedere i permessi di accessibilità e di amministratore.