一款名为 DroidLock 的新型安卓恶意软件被安全人员发现，该软件不仅能锁屏勒索受害者赎金，还可获取短信、通话记录、联系人、音频录音等信息，甚至能直接删除设备数据。

DroidLock 支持攻击者通过虚拟网络计算共享系统获得设备的完全控制权，同时还能在屏幕上生成悬浮层，以此窃取用户的锁屏图案。

研究人员指出，这款恶意软件的攻击目标为西班牙语用户，其传播渠道为恶意网站——这些网站通过推广仿冒合法应用的虚假安装包，诱导用户下载安装。 

据了解，该恶意软件的感染流程始于一个投放程序，它会诱骗用户安装包含核心恶意载荷的次级程序。

Loader 应用（顶部）和 DroidLock 应用（底部）

恶意应用会以 " 应用更新 " 为借口植入主恶意载荷，随后申请设备管理员权限与辅助功能权限，凭借这些权限实施各类恶意操作。

借助已获取的权限，DroidLock 可执行多种恶意行为，包括清空设备数据、锁定设备、修改个人识别码（PIN）、密码或生物识别信息，以此阻止用户访问自己的设备。 

分析显示，DroidLock 内置 15 条可执行命令，涵盖发送通知、在屏幕生成悬浮层、静音设备、恢复出厂设置、启动摄像头、卸载应用等操作。

DroidLock 支持的命令

一旦接收到对应的勒索指令，该恶意软件会通过网页视图立即弹出勒索悬浮窗口，要求受害者通过一个 Proton 邮箱地址联系攻击者。若受害者未能在 24 小时内支付赎金，攻击者便威胁会永久销毁设备内的文件。

DroidLock 的勒索覆盖

DroidLock 并不会对文件进行加密，而是以销毁文件为要挟索要赎金，最终达成与传统勒索软件相同的目的。除此之外，攻击者还可通过修改设备锁屏密码，完全剥夺用户对设备的访问权限。

该恶意软件窃取锁屏图案的功能，是通过加载恶意安装包资源目录中的另一悬浮层实现的。当用户在这个仿冒的锁屏界面绘制解锁图案时，图案信息会被直接发送给攻击者。攻击者设计这一功能，是为了能在设备闲置时段通过 VNC 实现远程访问。

安全人员建议安卓用户：若非来源绝对可信，切勿从谷歌应用商店外的渠道下载安装 APK 文件；安装应用时，务必核查其申请的权限是否与功能匹配；同时应定期使用谷歌应用防护服务对设备进行安全扫描。