Malware Baru DroidLock Kunci Perangkat Android dan Minta Tebusan

Peneliti keamanan dari Zimperium menemukan malware Android baru bernama DroidLock yang mampu mengunci layar perangkat korban untuk meminta tebusan, sekaligus mengakses pesan teks, log panggilan, kontak, rekaman audio, hingga menghapus data.

Cara Penyebaran

• DroidLock menargetkan pengguna berbahasa Spanyol.
• Didistribusikan melalui situs berbahaya yang menawarkan aplikasi palsu menyerupai paket resmi.
• Infeksi dimulai dengan dropper yang menipu pengguna agar menginstal payload sekunder berisi malware utama.

Mekanisme Serangan

Setelah terpasang, aplikasi berbahaya:

• Meminta izin Device Admin dan Accessibility Services.
• Dapat menghapus data perangkat, mengunci layar, mengubah PIN, password, atau data biometrik.
• Menggunakan sistem VNC sharing untuk mengambil alih kendali penuh perangkat.
• Mencuri pola kunci layar dengan overlay tiruan yang mengirimkan pola langsung ke penyerang.

Fitur dan Perintah DroidLock

Zimperium mencatat malware ini mendukung 15 perintah, termasuk:

• Mengirim notifikasi
• Menampilkan overlay di layar
• Membisukan perangkat
• Reset ke pengaturan pabrik
• Menyalakan kamera
• Menghapus aplikasi

Ransomware Overlay

• Overlay tebusan ditampilkan melalui WebView setelah menerima perintah.
• Korban diminta menghubungi penyerang melalui alamat email Proton.
• Jika tebusan tidak dibayar dalam 24 jam, penyerang mengancam akan menghancurkan file.
• Meski tidak mengenkripsi file, ancaman penghancuran dan penguncian perangkat membuat efeknya sama dengan ransomware.

Mitigasi dan Perlindungan

• Google Play Protect kini mendeteksi dan memblokir DroidLock pada perangkat yang diperbarui.
• Pengguna Android disarankan:
  • Tidak menginstal APK dari luar Google Play kecuali dari sumber terpercaya.
  • Memeriksa izin aplikasi apakah sesuai dengan fungsinya.
  • Melakukan pemindaian berkala dengan Play Protect.