トロイの木馬 Android.Lockdroid.E は、ルート権限が取得されている Android デバイスを対象に、ドロッパーを利用して自身の複製を投下します。ドロッパー自体は珍しくない手口ですが、Android デバイスにランサムウェアを拡散する目的で使われたのは、これが初めてです。かなり有効な手口ですが、この脅威に影響されたユーザーから身代金を取得しようと、同じ攻撃者が 2D バーコードの手口も使っています。これは、あまり効果を発揮していません。
Android.Lockdroid.E の投下に使われるマルウェアは、サードパーティのアプリストアを通じて拡散されるほか、偽のテキストメッセージや、フォーラムへの投稿も利用されています。ルート権限が取得されているデバイスには自身の複製を投下し、ルート権限が取得されていないデバイスはそのままロックします。デバイスにインストールされると、デバイスのルート権限が取得されているかどうかを確認します。デバイスのルート権限が取得されている場合は、ルートアクセス権があれば無料で数千本のアダルト動画を視聴できると謳う画面を表示して、ユーザーのクリックを誘います。ユーザーが[OK]ボタンをクリックすると、以下の手順で複製が投下されます。
図 1. APK が /system/app/[マルウェアの名前].apk に投下される
ひとたびシステムアプリケーションとして実行されると、マルウェアは簡単にはアンインストールできなくなります。ここまで進み、デバイス上に無事に投下されると、Android.Lockdroid.E はデバイスをロックして、身代金要求の画面と 2D バーコードを表示します。
デバイスのルート権限が取得されていない場合、Android.Lockdroid.E はすぐにデバイスをロックし、身代金要求の画面とバーコードを表示します。この場合、影響を受けたデバイスには何も投下されません。
Android.Lockdroid.E がデバイスをロックすると、2D バーコードの載った次のような画面と、身代金を支払う手順が表示されます。
図 2. Android.Lockdroid.E のロック画面と 2D バーコード
この手順では、バーコードをスキャンしてメッセージアプリにログインし、身代金を支払うよう指示されます。一見すると、犠牲者にこのデバイスの身代金を支払わせるにはうまい方法のように思われますが、実際には実に非効率的です。ロックされてしまったデバイス自体では、バーコードをスキャンすることもメッセージアプリにログインすることもできないので、バーコードをスキャンするには別のデバイスを使わなければなりません。犠牲者にとっては身代金の支払いが難しく、攻撃者にとっても受け取りが困難です。
サイバー犯罪者は、新しい手口を編み出すとともに、古い手口も再利用します。モバイルを狙う脅威から身を守るために、以下のベストプラクティスに従うことをお勧めします。
シマンテックとノートンの製品は、このブログでお伝えした脅威を Android.Lockdroid.E として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】