聞き上手というのは、人であれば称賛すべき資質とみなされるのが普通です。しかし、マルウェアに同じ資質を求めたいかといえば、そんなことはありません。Android を狙うランサムウェア Android.Lockdroid.E の最新の亜種は、素晴らしい聞き上手です。その証拠に、正しく話しかければ、スマートフォンへのアクセス権を返してくれる可能性があります。Android.Lockdroid.E は音声認識の API を利用しており、ロック解除コードを今までのように手で入力するのではなく、音声で入力するよう被害者に求めてくるのです。
デバイスに感染すると、Android.Lockdroid.E は SYSTEM タイプのウィンドウを使ってユーザーを締め出し、身代金要求の文面を表示します。文面は中国語で書かれ、デバイスのロックを解除する手順を説明したうえで、インスタントメッセンジャー「テンセント QQ」の ID も示されます。身代金の支払いとロック解除コードの受け取りについて、手順説明を受け取るための連絡先というわけです。ユーザーのデバイスはロックされているので、このランサムウェアの背後にいるサイバー犯罪者に連絡するには、別のデバイスを使う必要があります。
図 1. ロック画面に手順が示される
ボタンを押すという指示も書かれており、押すと音声認識が起動します。
図 2. ランサムウェアで音声認識モジュールを起動するコード
Android.Lockdroid.E が利用しているのはサードパーティの音声認識 API です。音声入力された言葉が所定のパスコードと一致しているかどうか、ヒューリスティックに比較されます。一致すれば、ロック画面が解除されます。
[click_to_tweet:1]
自動の音声認識機能ではどうしても多少は精度が甘くなるため、認識された語句を正規化して対応する場合もあります。
Android.Lockdroid.E は、ロック画面の画像と、該当するパスコードをアセットファイルのひとつに格納しています。ファイルは、余分なデータを埋めてエンコードされていますが、筆者は自動スクリプトを使ってパスコードの抽出に成功しました。図 2 は、Android.Lockdroid.E で使われる何種類かのパスコードのサンプルです。感染するデバイスごとに、異なるパスコードが使われていることに注意してください。
図 3: Android.Lockdroid.E が使うパスコードのサンプル
筆者の前回のブログでは、Android.Lockdroid.E の別の亜種が 2D バーコードで身代金を要求しているとお伝えしました。被害者は、身代金を払おうとするなら、ロック画面に表示されるコードを別のデバイスでスキャンして、メッセージアプリにログインする必要があります。これでは、被害者が身代金を支払うのは面倒ですし、攻撃者がそれを受け取るにも厄介です。今回も、音声認識を利用するという手口こそ最新になりましたが、別のデバイスを使って犯人に連絡する点は変わっていません。
こうした Android.Lockdroid.E の最新の亜種を解析したところ、音声認識のインテント起動に不備があったり、コピペのエラーがあったりなど、実装上のバグがいくつか見つかりました。被害者を脅して金銭を奪い取るという目標を達成するために、作成者が新しい手法を常に試していることは、疑いの余地がありません。Android.Lockdroid.E のマルウェアファミリーからは、今後も新しい手口が現れると見て間違いないでしょう。
モバイルを狙う脅威から身を守るために、以下のベストプラクティスに従うことをお勧めします。
シマンテックとノートンの製品は、このブログでお伝えした脅威を Android.Lockdroid.E. として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】