Alerta Android: DroidLock, el Nuevo Malware Hispano que Bloquea, Espía y Exige Rescate
DroidLock: Un cóctel de amenazas dirigido a hispanohablantes
La firma de seguridad Zimperium ha detectado una nueva y sofisticada amenaza móvil llamada DroidLock, un troyano que está siendo distribuido activamente y que apunta específicamente a usuarios hispanohablantes. Este malware no se limita a una sola función, sino que combina capacidades de spyware, ransomware y control remoto para obtener el dominio total del dispositivo Android.
El método de distribución se basa en la ingeniería social: DroidLock se propaga a través de sitios web maliciosos que ofrecen aplicaciones falsas. Estas actúan como señuelos, suplantando programas legítimos y aprovechando la confianza del usuario para inducir la instalación de archivos APKs fraudulentos fuera de Google Play.
El proceso de infección y la petición de permisos críticos
La infección se ejecuta en dos fases. Inicialmente, se instala un dropper (aplicación señuelo) que luego despliega la carga útil principal, DroidLock, camuflada bajo un falso proceso de actualización.
Una vez activo, el malware solicita dos permisos esenciales para su operatividad intrusiva:
- Privilegios de Administrador de Dispositivo (Device Admin): Permite ejecutar acciones destructivas como modificar el PIN, la contraseña, los parámetros biométricos, o borrar los datos del terminal.
- Servicios de Accesibilidad (Accessibility Services): El permiso más abusado, utilizado para automatizar acciones, gestionar notificaciones, silenciar el dispositivo y desplegar superposiciones.
Con estos accesos, DroidLock obtiene las herramientas necesarias para denegar el acceso legítimo al usuario y tomar el control persistente del terminal.
Quince comandos y el módulo de extorsión
El análisis de Zimperium identificó hasta 15 comandos que los operadores pueden ejecutar de forma remota desde el servidor de mando y control (C2). Entre las funciones más intrusivas se encuentran:
- Bloqueo remoto del dispositivo o restablecimiento de fábrica.
- Activación de la cámara y grabación de audio.
- Desinstalación de aplicaciones y silenciamiento del sonido.
- Inyección de superposiciones de pantalla para robar credenciales.
La función de extorsión se activa con un panel de ransomware que aparece mediante una superposición WebView. Este panel exige al usuario contactar a los atacantes para el pago del rescate, bajo la amenaza de destruir los archivos en 24 horas. Aunque DroidLock no cifra los datos (es un lockerware), el bloqueo total del terminal cumple el mismo objetivo extorsivo.
El VNC y el robo de patrón de desbloqueo
La característica más sofisticada de DroidLock es su integración de un módulo de control remoto basado en **VNC** y una técnica para robar el patrón de desbloqueo.
El malware simula la pantalla de patrón legítima. Cuando la víctima introduce el gesto, este se registra y se envía al operador. Esta información permite a los atacantes acceder al dispositivo a través del sistema VNC incluso cuando el terminal se encuentra bloqueado, asegurando un control total y persistente del teléfono.
