Android を狙うランサムウェアの新しい亜種(Android.Lockdroid.E)が、ロック画面のユーザーインターフェース(UI)を作成するために、Google の Material Design とオープンソースプロジェクトを悪用しています。こうすると、偽の法的通知と、収集したデバイスログを簡単に表示できるため、身代金要求の文面をさらに脅迫的に見せることができます。
このランサムウェアは、Google Play ストアを通じて拡散するのではなく、以下のいずれかの方法でデバイスに感染します。
- ユーザーがコンピュータ上で無料のソフトウェアパッケージをダウンロードする。このパッケージには、よく使われるブラウザ乗っ取り機能が仕込まれており、被害者が検索を実行するとその結果から Android ランサムウェアがホストされているサイトにリダイレクトされます。
- ランサムウェアは正規の動画再生アプリに偽装しているため、動画再生アプリだと思って非公式のアプリストアで入手する。
Material Design とは何か
Material Design とは、Google が開発し 2014 年に発表したデザイン言語です。グリッドベースのレイアウト、応答の速いアニメーション、深度エフェクト、スペーシングなどを用いて、Google の全サービスで統一的なユーザーエクスペリエンスを実現しています。サードパーティの開発者は、Google のリソースとオープンソースプロジェクトを使って、開発したアプリにこのスタイルを適用することができます。
Android.Lockdroid.E が Material Design を利用する経緯
Android.Lockdroid.E の作成者は、すっきりとしてプロっぽく見える UI のロック画面を作成するために Material Design を実装しています。また、簡単にアクセスできるメニューを通じて収集した個人データを表示することも、Material Design を使う目的です。こうした特徴を利用して、ランサムウェアは被害者を脅し、身代金を支払うように仕向けます。
Android.Lockdroid.E はトロイの木馬です。デバイスに侵入した後で初めて実行されると、通話記録や SMS 上のアクティビティ、ブラウザ履歴など、その時点で利用できるログをすべて収集します。次に、デバイスをロックして使えないようにし、ロック画面に身代金要求の文面を表示します。禁じられているコンテンツにアクセスしたので、デバイスのログを法執行機関が差し押さえた脅迫する内容です。そのうえで、ロック画面のメニューには収集したログデータがオプションとして表示されますが、これはユーザーの不正なアクセスを示す「証拠」ということになっています。
ランサムウェアのロック画面で Material Design がどのように使われているのか、以下の画像をご覧ください。被害者は、左側のアプリドロワーをスライドするかメニューアイコンを選択して、ロック画面のオプションのリストにアクセスできます。
図 1. 左側のアプリドロワーに表示されるメニュー
オプションには、身代金要求、偽の法的通知、収集されたログデータなどが並んでいます。このような情報を表示するのも、攻撃者が主張している被害者の「不正な行為」を裏付けるためです。
図 2. ロック画面のメニューには、ブラウザ履歴の詳細、通話のログデータ、偽の法的通知などが並ぶ
SMS アクティビティのログ、通話記録、ブラウザ履歴などを集めるランサムウェアは、これまでにも確認されていました。しかし、Material Design を利用して一連のログをここまで被害者に公開する例は初めてです。
攻撃者はどのようにして UI を作成したのか
Material Design ベースのロック画面 UI のうち一部は、広く使われているオープンソースプロジェクト MaterialDrawer を利用して作成されています。
図 3. ロック画面の左側アプリドロワーのコードスニペット
言うまでもなく、MaterialDrawer は悪質な目的に利用されることを意図して開発されたわけではありません。単に、このランサムウェアの作成者が、正規のアプリ開発者と同じように、MaterialDrawer をレイアウトに利用しただけです。
対処方法
シマンテックは、このマルウェアを Android.Lockdroid.E として検出します。以下のベストプラクティスを守ってください。
- ソフトウェアは最新の状態に保ちましょう。
- 見たことのないサイトからアプリをダウンロードすることは避けましょう。
- アプリは信頼できるソースだけからインストールしてください。
- アプリがリクエストする許可の種類に注意してください。
- デバイスとデータを保護するために、ノートンなど適切なモバイル用セキュリティアプリをインストールしましょう。
- 重要なデータは必ず頻繁にバックアップを作成しておきましょう。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】