文章总结： 安全团队zLabs披露新型Android勒索软件DroidLock，通过钓鱼网站分发，篡改设备密码并勒索赎金，同时窃取敏感数据。该软件利用社会工程学手段获取辅助功能和设备管理员权限，实现全面控制设备，对企业安全构成严重威胁，可能导致数据泄露和内部渗透。文章建议限制辅助功能服务、强化移动设备防御、加强员工培训和身份凭证保护等措施。 综合评分： 75 文章分类： 恶意软件,移动安全,威胁情报,安全意识,勒索软件

【注意】新型勒索软件正将员工手机变成进入公司网络的后门

信息安全大事件

2025年12月13日 18:00 江苏

安全研究团队 zLabs 近日披露一款针对 Android 设备的新型勒索软件 DroidLock。该软件通过篡改设备解锁密码，强行阻止用户访问手机，并借机勒索赎金。研究进一步发现，其危害远不止于此——DroidLock 能够窃取短信、通话记录、联系人、录音等大量敏感数据，并已具备长期潜伏与控制设备的能力。

据分析，该恶意软件目前主要面向西班牙语安卓用户，通过伪造知名应用（如 Orange）的钓鱼网站进行分发，诱骗用户下载安装虚假应用。

     假应用+ 辅助功能滥用构成完整攻击链

DroidLock 并未利用任何系统漏洞，其攻击全程依托精心设计的社会工程学手段，步骤清晰且环环相扣：

伪造应用，钓鱼上钩：攻击者搭建高仿钓鱼网站，冒充官方应用，诱导用户下载安装恶意APK。

诱导授权，获取核心权限：应用安装后，会立即索要“辅助功能服务”和“设备管理员”权限。其中，辅助功能本是为残障人士设计的无障碍服务，但因其可监控屏幕内容、模拟点击与输入，已成为恶意软件滥用最频繁的高危入口。

权限自动化提权，全面接管：一旦获得上述核心权限，恶意软件便能自动批准其他敏感权限申请，从而无阻访问短信、通讯录、通话记录及麦克风等。

建立通信，接受远程指令：DroidLock 通过双通道架构与远程服务器保持联系，可接收至少 15 类指令，实现发送通知、静音、拍照、卸载应用乃至恢复出厂设置等全方位控制。

最终勒索：锁屏与威胁：完成控制后，恶意软件会弹出无法关闭的全屏勒索界面，要求受害者在24小时内支付赎金，否则将永久清除设备所有数据。

     锁机勒索只是开端，重点要防范长期利用风险

对于企业而言，DroidLock 类威胁带来的风险是灾难性的。一台受感染的员工设备，无异于在企业防火墙内部打开了一扇“后门”：

窃取核心验证凭证：可实时拦截短信验证码（OTP），篡改各类账户密码。

渗透企业系统：以此设备为跳板，针对企业邮箱、内部应用等高价值系统发起定向攻击，实施账户接管。

沦为持续监控终端：远程开启录音、拍照，窃取商业机密与会议内容，使移动设备彻底沦为攻击者的窃听耳目。

如果您担心：

| | | — | | 1、员工在非工作用机上或工作手机上，因个人行为（访问钓鱼网站、安装假应用）导致设备被完全控制。攻击者随后利用该设备进行窃取企业数据、劫持企业账户、内部渗透 2、恶意软件录音、读取通知、拍照，导致商业泄密、财务欺诈、敏感信息泄露 3、设备被勒索锁定或恢复出厂设置，导致业务中断、核心数据丢失、勒索与合规风险 |

江苏国骏公司提供从预防到响应的一体化方案，建议可以从以下几点进行防范：

| | | — | | 限制辅助功能服务：要求员工限制非官方或可疑应用程序对辅助功能服务的访问。 强化移动设备威胁防御：要求企业员工安装安全软件，关闭非必要权限，禁止安装来源不明的应用。 强化员工培训：加强员工安全意识培训，不在非官方网站下载软件应用，不使用移动设备处理敏感信息。 加强身份凭证保护：限制企业账号在非管理设备登录，对高风险操作启用更强的二次验证机制。 |

如有需要，欢迎联系我们

获取专属您的解决方案！

联系电话：400-6776-989/13338963885

欢迎关注，了解更多内容

查看原文：《【注意】新型勒索软件正将员工手机变成进入公司网络的后门》