DroidLock : un nouveau ransomware Android capable de prendre le contrôle total d'un smartphone
Les chercheurs de Zimperium tirent la sonnette d’alarme. Leur division zLabs vient de mettre au jour une nouvelle forme de malware Android baptisée DroidLock, une campagne malveillante en pleine expansion, ciblant pour l’heure principalement les utilisateurs en Espagne. Contrairement aux menaces mobiles habituelles, ce logiciel malveillant adopte le fonctionnement d’un ransomware, combinant vol d’identifiants, manipulation du verrouillage et prise de contrôle à distance de l’appareil.
Une diffusion par hameçonnage extrêmement agressive
DroidLock se propage via des sites web de phishing soigneusement construits. L’utilisateur est incité à télécharger une application leurre, apparemment légitime, mais dont la fonction réelle est d’exploiter les services d’accessibilité d’Android. Cette technique permet au malware de contourner les protections du système et d’obtenir sans autorisation explicite l’accès aux SMS, aux journaux d’appels, aux contacts, aux photos, aux enregistrements audio ou encore aux notifications.
Une fois les droits d’accessibilité activés, le malware automatise l’octroi d’autorisations critiques, rendant l’infection quasiment invisible. Pour les victimes, tout semble normal… jusqu’à ce que l’appareil commence à leur échapper.
Un contrôle complet assuré grâce à un canal de commande sophistiqué
Après l’infection, DroidLock se connecte à un serveur de commande et de contrôle via des communications HTTP et websocket. Cette infrastructure permet aux cybercriminels d’exécuter plus d’une quinzaine de commandes à distance, allant du verrouillage forcé de l’appareil à la modification du code PIN, en passant par la réinitialisation totale du smartphone.
Les attaquants peuvent également prendre une photo de la victime à son insu, désactiver toutes les notifications, restreindre les interactions utilisateur ou encore diffuser en direct l’écran du téléphone. Grâce à une prise en main complète via VNC, ils manipulent l’interface comme s’ils tenaient l’appareil entre leurs mains.
Des écrans de superposition conçus pour voler identifiants et schémas de verrouillage
L’une des innovations les plus dangereuses de DroidLock réside dans sa gestion avancée des superpositions. Le malware utilise deux approches distinctes pour capturer les codes de déverrouillage et les identifiants des applications.
La première repose sur des superpositions volatiles générées en mémoire, capables d’intercepter les schémas de déverrouillage dessinés sur l’écran. La seconde, plus sophistiquée, utilise WebView pour afficher des pages HTML contrôlées par les attaquants, imitant parfaitement les écrans de connexion d’applications bancaires ou de messagerie afin de collecter identifiants et mots de passe.
Pour éviter que la victime n’interrompe le processus, DroidLock affiche même un faux écran de mise à jour du système Android, expliquant pourquoi le smartphone devient subitement inutilisable ou ne peut plus être éteint.
Un ransomware sans chiffrement, mais au pouvoir destructeur
Contrairement aux ransomwares traditionnels, DroidLock ne crypte pas les fichiers. Pourtant, sa capacité à effacer intégralement le contenu de l’appareil lui confère un pouvoir de nuisance équivalent, voire supérieur. En imposant un verrouillage total et en menaçant d’une suppression irréversible des données, les cybercriminels exercent une pression psychologique forte, incitant parfois au paiement.
Des écrans de verrouillage en plein écran, exigeant une rançon dans un délai de 24 heures, viennent compléter cet arsenal de coercition. Une fois l’appareil bloqué, l’utilisateur n’a plus aucune marge de manœuvre.
Un danger majeur pour les entreprises et les services sensibles
Pour les organisations, les implications sont considérables. Un smartphone compromis devient un terminal hostile capable de détourner des codes de double authentification, d’altérer les identifiants de l’appareil, de contrôler l’interface utilisateur ou de supprimer toutes les données professionnelles.
« Pour les entreprises, un appareil compromis devient un terminal hostile. DroidLock peut intercepter les codes d'accès à usage unique, modifier les identifiants de l'appareil, effacer les données et contrôler à distance l'interface utilisateur. Les entreprises ont besoin de solutions de sécurité mobile capables de bloquer ces attaques avant qu'elles ne perturbent leurs opérations ou ne permettent la prise de contrôle de comptes », souligne Vishnu Pratapagiri, chercheur en sécurité chez Zimperium et auteur de l’étude.
Un signal fort sur l’évolution des menaces Android
DroidLock illustre une évolution claire des cyberattaques mobiles : les hackeurs adoptent désormais des tactiques hybrides mêlant espionnage, ransomware et prise de contrôle total. La frontière entre les malwares classiques et les attaques destructrices s’amincit, tandis que la sophistication technique des campagnes ne cesse de croître.
À l’approche de 2026, Zimperium rappelle que la détection proactive et la surveillance comportementale deviennent indispensables pour contrer ce type de menace. DroidLock ne serait peut-être qu’un avant-goût de nouvelles générations de malwares capables d’exploiter chaque recoin du système Android.
~~~~~~~~
A lire aussi
- ClayRat : le nouveau spyware Android qui se propage comme un virus social
- DoubleTrouble : un cheval de Troie bancaire mobile sophistiqué se propage via Discord et menace les utilisateurs Android
- Sécurité Android : un malware indétectable se cache derrière de fausses applications du Play Store
~~~~~~~~