文章总结： 新型安卓勒索软件DroidLock通过虚假应用传播，能锁定设备、窃取隐私数据及远程控制。它利用VNC和覆盖层盗取解锁图案，虽不加密文件但威胁销毁数据索要赎金。建议用户仅从官方渠道下载应用，检查权限并开启PlayProtect扫描以防范此类威胁。 综合评分： 85 文章分类： 恶意软件,移动安全,威胁情报

新型 DroidLock 恶意软件会锁定安卓设备并索要赎金

Rhinoer

犀牛安全

2025年12月26日 00:00 北京

一种名为 DroidLock 的新型安卓恶意软件被发现，它可以锁定受害者的屏幕以勒索赎金，并访问短信、通话记录、联系人、录音，甚至删除数据。

DroidLLock 允许其操作员通过 VNC 共享系统完全控制设备，并可以通过在屏幕上放置覆盖层来窃取设备锁定图案。

据移动安全公司 Zimperium 的研究人员称，该恶意软件针对西班牙语用户，并通过恶意网站传播，这些网站推广冒充合法软件包的虚假应用程序。

Zimperium 在今天发布的一份报告中称，“感染始于一个投放器，该投放器诱骗用户安装包含实际恶意软件的二级有效载荷。”

恶意应用程序通过更新请求引入主要有效载荷，然后请求设备管理员和辅助功能服务权限，从而执行欺诈活动。

它可以采取的一些措施包括擦除设备、锁定设备、更改 PIN 码、密码或生物识别数据，以防止用户访问设备。

Zimperium 的分析发现，DroidLock 支持 15 个命令，可以发送通知、在屏幕上放置叠加层、将设备静音、将其重置为出厂设置、启动相机或卸载应用程序。

勒索软件会在收到相应命令后立即通过 WebView 运行，指示受害者通过 Proton 邮箱地址联系攻击者。如果用户在 24 小时内不支付赎金，攻击者威胁将永久销毁文件。

Zimperium 澄清说，DroidLock 本身并不加密文件，但它通过威胁销毁文件而不支付赎金，达到了同样的目的。此外，攻击者还可以通过更改锁定密码来阻止对设备的访问。

DroidLock 可以通过恶意 APK 资源中加载的另一个覆盖层窃取解锁图案。当用户在克隆的界面上绘制图案时，图案会直接发送给攻击者。此功能的目的是在设备空闲时通过 VNC 远程访问设备。

作为谷歌应用防御联盟的成员，Zimperium 会与 Android 安全团队分享最新的恶意软件发现，因此 Play Protect 可以检测并阻止来自最新设备的此类威胁。

建议安卓用户不要从 Google Play 以外的渠道侧载 APK 文件，除非发布者是可信来源。用户应始终检查应用所需的权限是否符合其用途，并定期使用 Play Protect 扫描设备。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer《新型 DroidLock 恶意软件会锁定安卓设备并索要赎金》