Beveiligingsonderzoekers waarschuwen voor een nieuw type Android-ransomware dat gebruikers buitensluit van hun toestel. Opvallend: de malware versleutelt helemaal niets, maar jaagt slachtoffers tóch angst aan met dreigementen over dataverlies.
Een nieuwe dreiging duikt op in het Android-ecosysteem. Beveiligingsbedrijf Zimperium heeft ransomware ontdekt die de naam DroidLock draagt en volgens de onderzoekers een opmerkelijk effectieve maar technisch gezien vrij simpele aanpak hanteert. De malware kan gebruikers volledig buitensluiten van hun smartphone en dreigt met dataverlies – maar versleutelt feitelijk helemaal niets.
Intimidatie in plaats van encryptie
Kort nadat DroidLock op een toestel terechtkomt, verschijnt er een dreigende melding op het scherm. Slachtoffers krijgen te horen dat ze binnen 24 uur losgeld moeten betalen, anders worden al hun bestanden gewist. Het is een klassieke ransomware-tactiek, maar met een cruciaal verschil: de bestanden blijven gewoon toegankelijk zolang de malware actief is.
Of de criminelen achter DroidLock hun dreigementen werkelijk uitvoeren, is onduidelijk. Wat wel duidelijk is: ze vertrouwen vooral op intimidatie en tijdsdruk. Het gebrek aan versleuteling suggereert dat de makers minder geavanceerd te werk gaan dan bij traditionele ransomware, maar desondanks effectief kunnen zijn bij onwetende gebruikers.
Vergrendeling met verstrekkende gevolgen
De echte macht van DroidLock zit hem in de controle over het toestel zelf. Volgens Zimperium kunnen de aanvallers tot vijftien verschillende commando’s uitvoeren op geïnfecteerde smartphones. Een van de meest ingrijpende mogelijkheden: het aanpassen van de pincode of het ontgrendelpatroon.
Daarmee kunnen ze gebruikers effectief buitensluiten van hun eigen telefoon. Zonder de juiste code kom je niet langs het vergrendelscherm, en ook biometrische opties zoals vingerafdruk of gezichtsherkenning bieden geen uitkomst – de malware schakelt die functionaliteit namelijk uit.
Daarnaast kan DroidLock specifieke apps verwijderen of zogenaamde ‘overlays’ toevoegen: nepschermen die over echte apps heen worden gelegd. Die tactiek wordt vaak ingezet om banking-apps na te bootsen. Gebruikers denken dat ze inloggen bij hun bank, maar voeren hun gegevens in op een vals scherm dat direct in handen van criminelen valt. Als ultieme maatregel kunnen de aanvallers ook kiezen voor een fabrieksherstel, waarmee alle data op het toestel wordt gewist.
Misbruik van toegankelijkheid – opnieuw
DroidLock is het zoveelste voorbeeld van Android-malware die misbruik maakt van toegankelijkheidsfuncties. Google heeft deze functies ontworpen voor gebruikers met een beperking – denk aan schermlezers en spraakgestuurde navigatie – maar criminelen hebben ontdekt dat diezelfde functies uitzonderlijk veel macht geven over een toestel.
Het infectieproces volgt een inmiddels vertrouwd patroon. Gebruikers installeren een app van buiten de Google Play Store, vaak een ogenschijnlijk legitieme applicatie die nauwelijks van het echte werk te onderscheiden is. Eenmaal geïnstalleerd vraagt de app toegang tot toegankelijkheidsdiensten én administratorrechten – het hoogste niveau van controle dat Android-apps kunnen krijgen. Met die combinatie hebben de makers van DroidLock vrijwel onbeperkte macht over het toestel.
Verantwoordelijkheid ligt bij de gebruiker
De verspreiding van DroidLock onderstreept een ongemakkelijke waarheid: een groot deel van de kwetsbaarheid ligt bij gebruikers zelf. De malware kan alleen toegang krijgen als mensen bereid zijn apps van buiten officiële kanalen te installeren én vervolgens vergaande rechten toe te kennen.
Wat kun je doen om infectie te voorkomen?
Installeer apps uitsluitend via de Google Play Store. Hoewel ook daar soms malafide apps doorheen glippen, is de kans op besmetting aanzienlijk kleiner dan bij externe bronnen. Alleen als er een concrete, legitieme reden is – zoals een bedrijfsapp die niet in de Play Store staat – zou je daarvan mogen afwijken.
Geef apps nooit toegang tot toegankelijkheidsdiensten, tenzij het echt om toegankelijkheidssoftware gaat. Een zaklamp-app, spelletje of wallpaper-tool heeft daar simpelweg geen enkele reden voor. Hetzelfde geldt voor administratorrechten: als een app daarom vraagt zonder duidelijke noodzaak, is dat een rode vlag.
Als het toch misgaat
Mocht je toch besmet raken met ransomware als DroidLock, betaal dan in geen geval. Het overhandigen van geld garandeert niet dat je toegang terugkrijgt, en moedigt criminelen alleen maar aan om door te gaan. Bovendien financier je daarmee mogelijk andere illegale activiteiten.
Probeer via de instellingen van Android de toegekende rechten in te trekken, al kan dat lastig zijn als de malware je toegang blokkeert. Als dat lukt, kun je in veel gevallen de schadelijke app verwijderen. Backup eerst waar mogelijk je belangrijke bestanden naar een computer of cloudopslag, en overweeg daarna een fabrieksherstel om het toestel schoon te krijgen.
De beste verdediging blijft echter waakzaamheid. Wie externe apps vermijdt en kritisch blijft bij het toekennen van rechten, loopt nauwelijks risico om überhaupt besmet te raken. In een tijd waarin smartphones steeds meer persoonlijke en financiële data bevatten, is dat geen overbodige luxe.
