Felfedeztek egy új, DroidLock névre keresztelt androidos kártevőt, amely zárolja a felhasználó eszközének képernyőjét, miközben hozzáfér a rajta található adatokhoz, ráadásul módosítani és törölni is képesek az azon tárolt adatokat. A DroidLock a VNC (Virtual Network Connection) rendszeren keresztül képes akár teljes mértékben átvenni a célzott eszköz feletti irányítást, sőt egy rosszindulatú APK erőforrásból betöltött és a képernyőre helyezett „plusz réteg” segítségével a célzott eszköz feloldásához szükséges mintát is meg tudja megszerezni.
A Zimperium mobilbiztonsági cég szerint a kártevő spanyol ajkú felhasználókat céloz és olyan rosszindulatú weboldalakon terjed, amelyek legitim alkalmazásoknak tűnő hamis alkalmazásokat népszerűsítenek. Annak érdekében, hogy a kártevő minél tovább rejtve maradjon az ún. „doppler technikát” alkalmazza, amely során a DroidLock nem azonnal a rosszindulatú alkalmazással, hanem annak egy későbbi frissítésével települ a célzott eszközökre. A telepítést követően a kártevő engedélyeket kér rendszergazdai jogosultságokhoz és akadálymentesítési szolgáltatásokhoz. A vizsgálatok során a Zimperium 15, a DroidLock káros tevékénységével összefüggő parancsot fedezett fel, többek között az eszközök törlését, zárolását, az értesítések küldését, a képernyő módosítását, kamera elindítását, a beállítások alaphelyzetbe állítását és alkalmazások törlését, illetve a PIN-kódok, jelszavak vagy biometrikus adatok módosítását, így zárva ki a felhasználókat saját eszközeikből.
További érdekesség, hogy a DroidLock üzemeltetői zsarolást is alkalmaznak a támadások során, miszerint, ha a felhasználó 24 órán belül nem veszi fel a kapcsolatot a zsarolóüzenetben szereplő Protonmail-es e-mailcímmel és fizeti ki a váltságdíjat, végleg megsemmisítésre kerülnek az eszközön található fájlok. A Zimperium ezzel kapcsolatban hozzáfűzi, hogy a DroidLock ugyan nem titkosítja az eszközökön található fájlokat, de azáltal, hogy a fájlok törlésével fenyegetőznek, ugyanazt a célt érik el a támadók, aminek hatását az is megerősíti, hogy az eszközök feloldásához szükséges minta, kód vagy biometrikus adatok módosításával képesek ellehetetleníteni a fájlokhoz való hozzáférést.
Mivel a Zimperium, a Google App Defense Alliance tagjaként megosztotta a DroidLock-kal kapcsolatos információit az Android biztosági csapatával, így a naprakész eszközökön a Play Protect már képes észlelni és blokkolni a kártevőt. Az Android felhasználóknak azt javasolják, hogy ne töltsenek le alkalmazásokat megbízhatatlan forrásban, csak a Google Play Alkalmazásboltból, illetve ellenőrizzék, hogy a letölteni kívánt alkalmazások által kért engedélyek valóban szükségesek-e.