Új, rendkívül agresszív androidos kártevőt azonosítottak a kiberbiztonsági kutatók, amely nem elégszik meg a banki adatok csendes ellopásával. A DroidLock névre keresztelt malware a klasszikus zsarolóvírusok módszereit ötvözi a modern kémprogramok képességeivel: kizárja a felhasználót a saját telefonjából, megváltoztatja a képernyőzár kódját, és teljes adattörléssel fenyeget, ha nem fizetünk. A Zimperium zLabs és a Malwarebytes által frissen elemzett kampány rávilágít az Android operációs rendszer egyik leghasznosabb, ám legveszélyesebb funkciójának, a kisegítő lehetőségeknek (Accessibility Services) a sérülékenységére.
A támadás különlegessége, hogy a fertőzés után a felhasználó gyakorlatilag tehetetlenné válik: a kártevő átveszi az irányítást a beállítások felett, és egy hamis rendszerfrissítési képernyővel álcázza tevékenységét, miközben a háttérben átprogramozza a védelmi vonalakat.
Így jut be a telefonokra a kártevő
A DroidLock terjedése a már jól ismert, mégis hatékony pszichológiai trükkökre épít. A kutatók szerint a fertőzés elsődleges forrásai a külső, nem hivatalos alkalmazásboltok, illetve a különböző adathalász weboldalak, amelyek népszerű, fizetős alkalmazások ingyenes verzióit ígérik. A felhasználó gyanútlanul letölt egy telepítőfájlt (APK), amely azonban nem a várt játékot vagy segédprogramot tartalmazza, hanem egy úgynevezett „dropper” komponenst.
Ez az előörs alkalmazás egyetlen céllal kerül a telefonra: hogy rávegye a felhasználót a kritikus engedélyek megadására. A telepítés után a program azonnal a kisegítő lehetőségek (Accessibility Services) menüpontjához irányítja az áldozatot, gyakran arra hivatkozva, hogy az alkalmazás működéséhez speciális vezérlésre van szükség.
Amint a felhasználó engedélyezi ezt a hozzáférést, a DroidLock aktiválódik. A kisegítő lehetőségek eredetileg a fogyatékkal élők támogatására készültek – például képesek automatikusan gombokat nyomni vagy felolvasni a képernyő tartalmát –, a vírus azonban ezt a képességet arra használja, hogy a felhasználó tudta és beleegyezése nélkül, a másodperc töredéke alatt további jogokat adjon magának. Engedélyezi a fájlhozzáférést, az SMS-ek olvasását, és ami a legfontosabb: az eszközadminisztrátori jogokat.
A mechanizmus: Hogyan zár ki a saját telefonodból?
A DroidLock működése technikai szempontból is figyelemre méltó és ijesztő. A legtöbb androidos zsarolóvírus korábban csak egy „lebegő ablakot” (overlay) dobott a képernyőre, amelyet egy újraindítással vagy csökkentett móddal viszonylag könnyen el lehetett távolítani. Ez a variáns azonban mélyebbre nyúl.
Az eszközadminisztrátori jogok megszerzése után a kártevő képes megváltoztatni a készülék PIN-kódját vagy feloldó mintáját. A Zimperium elemzése szerint a malware véletlenszerűen generált kódra cseréli a felhasználó jelszavát, ezzel fizikailag is kizárva a tulajdonost az eszközről. Ezt követően jelenik meg a váltságdíjat követelő üzenet, amely jellemzően kriptovalutában kéri a fizetést, cserébe az új kódért.
A támadók nyomásgyakorlásként egy 24 órás visszaszámlálót indítanak el. Az üzenet szerint, ha a határidő lejárta előtt nem érkezik meg az utalás, a vírus aktiválja a „Factory Reset” parancsot, azaz gyári visszaállítást hajt végre, végleg törölve minden fotót, üzenetet és dokumentumot a telefonról. Bár a technikai elemzések szerint a fájlok titkosítása (encryption) nem történik meg – ellentétben a PC-s zsarolóvírusokkal –, a kizárás és a törléssel való fenyegetés éppen ugyanolyan hatékony zsarolási potenciált biztosít.
Adatok és specifikációk a DroidLockról
Az alábbi táblázatban összefoglaltuk a DroidLock legfontosabb technikai jellemzőit a Zimperium és a Malwarebytes jelentései alapján, hogy tisztán látható legyen a fenyegetés mértéke.
| Jellemző | Részletek |
|---|---|
| Kártevő neve | DroidLock (Android.Trojan.Locker) |
| Felfedezés ideje | 2025. december eleje (Zimperium zLabs) |
| Terjedési mód | Adathalász oldalak, Sideloading (APK telepítés), Fake Updates |
| Fő támadási felület | Accessibility Services (Kisegítő lehetőségek) |
| Képességek | PIN-kód csere, Képernyőzár, Gyári visszaállítás (Wipe), VNC távvezérlés |
| Célpont | Androidos okostelefonok (verziótól függetlenül veszélyes) |
| Zsarolási módszer | Kizárás az eszközről + Adattörléssel való fenyegetés |
Hamis rendszerfrissítés és kémkedés
A DroidLock nem csupán egy egyszerű zsarolóvírus, hanem komplex kémprogram is. A kutatók felfedezték, hogy a malware képes VNC (Virtual Network Computing) kapcsolatot létesíteni a támadók szerverével (C2 – Command and Control). Ez azt jelenti, hogy a bűnözők valós időben láthatják a telefon képernyőjét, és távolról vezérelhetik azt: elindíthatnak alkalmazásokat, beleolvashatnak banki applikációkba, vagy akár aktiválhatják a mikrofont és a kamerát.
Hogy a felhasználó ne fogjon gyanút a háttérben zajló folyamatok (például az adatok feltöltése) közben, a vírus gyakran egy teljes képernyős, hamis „System Update” (Rendszerfrissítés) ablakot jelenít meg. Ez a képernyő azt hazudja az áldozatnak, hogy a telefon éppen karbantartást végez, és szigorúan tilos kikapcsolni. Valójában ez az időablak szolgál arra, hogy a kártevő zavartalanul kommunikáljon a vezérlőszerverekkel, és véglegesítse a telefon feletti uralmat.
Magyarországi helyzetkép és kockázatok
Bár a Zimperium jelentése szerint az első hullámot Spanyolországban észlelték, a digitális kártevők esetében a földrajzi határok gyakorlatilag nem léteznek. Magyarországon a helyzetet súlyosbítja, hogy a hazai felhasználók körében is népszerűek a „feltört” (crackelt) játékokat és alkalmazásokat kínáló weboldalak. Mivel a magyar felhasználók árérzékenysége miatt sokan keresnek ingyenes alternatívákat fizetős szolgáltatásokra (pl. Spotify, YouTube Premium vagy drága játékok APK verziói), a DroidLockhoz hasonló trójai programoknak rendkívül könnyű dolguk van a hazai piacon.
A Nemzeti Kibervédelmi Intézet rendszeresen figyelmeztet az ismeretlen forrásból származó telepítések veszélyeire, ám a „csak egy kattintás” csábítása sokszor felülírja a biztonsági megfontolásokat. A DroidLock megjelenése intő jel: egyetlen rossz letöltés a teljes digitális életünk elvesztését jelentheti.
Mit tehetünk, ha megtörtént a baj?
Ha a telefonunkat zárolta a DroidLock, a legfontosabb szabály: soha ne fizessünk váltságdíjat. A tapasztalatok azt mutatják, hogy a bűnözők a fizetés után sem oldják fel a készüléket, vagy újabb összegeket követelnek.
A fertőzés eltávolítása nehéz, de nem mindig lehetetlen. Mivel a vírus megváltoztatja a PIN-kódot, a hagyományos belépés nem működik. Az alábbi lépések segíthetnek:
- Google Készülékkereső (Find My Device): Ha a telefonon aktív volt a Google-fiók és az internetkapcsolat, próbáljuk meg távolról törölni az eszközt egy számítógépről. Bár ez adatvesztéssel jár, a telefon legalább újra használhatóvá válik a gyári visszaállítás után.
- Csökkentett mód (Safe Mode): Egyes esetekben a telefon csökkentett módban történő indítása (a bekapcsológomb és a hangerőgombok megfelelő kombinációjával) letilthatja a harmadik féltől származó alkalmazásokat, így a vírust is. Ha sikerül belépni, azonnal vonjuk meg az eszközadminisztrátori jogokat a gyanús apptól, és töröljük azt.
- Hard Reset: Ha semmi más nem segít, a telefon fizikai gombjaival (Recovery Menu) indított gyári visszaállítás a végső megoldás. Ez minden adatot töröl, de eltávolítja a kártevőt is.
Kilátások: A Google válaszlépései
Az Android fejlesztői csapata folyamatosan küzd a kisegítő lehetőségekkel való visszaélések ellen. Az újabb Android verziókban (Android 13, 14, 15) a Google már szigorította az úgynevezett „sideloaded” (külső forrásból telepített) alkalmazások hozzáférését ezekhez a funkciókhoz. A Play Protect szolgáltatás is egyre hatékonyabban ismeri fel a DroidLockhoz hasonló fenyegetéseket valós időben. A versenyfutás azonban örök: ahogy a védelem erősödik, úgy válnak a támadók módszerei is egyre kifinomultabbá.
