モバイルマルウェア作成者の予備軍にとって、プログラミング経験がほとんど、またはまったくないことは、もはや障壁になりません。トロイの木馬開発キット(TDK)が登場したからです。今や犯罪者は、アプリをインストールするだけで、Android ランサムウェアを自分のデバイス上で簡単に、短時間で作成できます。TDK を使うのは、以前のブログでお伝えしたように Android 統合開発環境(AIDE)を利用してマルウェアを作成するのとは違うことに、ご注意ください。
こうした TDK の出現に筆者が初めて気付いたのは今年のはじめですが、最も新しいものは数日前に確認されたばかりです。
マルウェアの亜種を作成するプロセス全体が、CASE(コンピュータ支援ソフトウェアエンジニアリング)のツールモデルを採用して自動化されています。厳密に言うと、DAME(デバイス支援ソフトウェアエンジニアリング)のツールモデルです。
デバイス上のマルウェア作成キット
マルウェア作成者の予備軍が TDK を使い始めるには、まず無料アプリをダウンロードします。アプリは、ハッカーのフォーラムで公開されているほか、中国で広く利用されているソーシャルネットワークのメッセージングサービスで表示される広告からも入手できます。
このアプリは、インターフェースも使いやすく、マルウェアを作れるという一点を除けば、Android アプリとまったく変わりません。
マルウェアを作成しようと思ったら、画面上のフォームに必要な情報を入力して、カスタマイズの内容を選ぶだけです。
カスタマイズできるオプションは次のとおりです。
- 侵入先のデバイスで、ロックした画面に表示するメッセージ
- デバイスのロックを解除するときに使うキー
- マルウェアが使うアイコン
- ランダムなコードを生成するカスタムの演算
- 侵入先のデバイスで画面に表示するアニメーション
図 1. マルウェア作成アプリ
必要な情報をすべて入力して[create]ボタンをタップすると、まだサービスに登録していなければ、登録するよう要求されます。このアプリ上で、アプリの開発者とオンラインチャットを始められるので、そこで 1 回限りの支払い方法を設定できる仕組みです。登録を完了するとプロセスを続行できるようになり、あとはいくらでもランサムウェアの亜種を作り出すことができます。
支払いが完了していれば、出荷できる状態で外部ストレージにマルウェアが作成されます(図 2)。
図 2. 選択した設定でマルウェアが作成される
新しく作ったランサムウェアの拡散方法は、ユーザーしだいです。運悪くこのランサムウェアをインストールしてしまった人は、デバイスをロックされて身代金を請求されます。この自動プロセスを利用して作成したマルウェアの動作は、典型的な Lockdroid と同じです。つまり、SYSTEM_ALERT_WINDOW でデバイスの画面をロックし、ロック解除コードを入力するテキストフィールドを表示します。
図 3. TDK を使って作成したランサムウェアが稼働しているところ
すぐに実用できるマルウェアを 1 つ作るプロセスすべてをスマートフォン上で実行でき、1 行たりともプログラムを書く必要はありません。
[click_to_tweet:1]
筆者がこれまでに解析した TDK のサンプルはすべて、中国語ユーザーを対象にしたものでしたが、インターフェース言語の変更も簡単なはずです。まだ今はその機能がないとしても、違う言語のバージョンが遠からず登場するでしょう。
これほど使い方の簡単なマルウェア開発キットが出現したとなると、ランサムウェア稼業に参入したいと考えているサイバー犯罪者予備軍にとっては、ハードルが低くなりました。なにしろ、技術的な知識がほとんどない個人でも、独自にカスタマイズした Android ランサムウェアを作成できるのです。しかも、こうしたアプリは経験の乏しい予備軍にとって便利なだけではありません。マルウェア作成の常習犯も、手軽に使えるキットを効率的なツールとして利用し、仕事を済ませられるからです。このような開発キットがさらに広まれば、モバイルランサムウェアの亜種が今以上に増加することが懸念されます。
対処方法
モバイルデバイスでこの種の脅威から身を守るために、セキュリティに関して以下のベストプラクティスに従うことをお勧めします。
- ソフトウェアは最新の状態に保つ
- 見たことのないサイトからアプリをダウンロードすることは避ける
- アプリは信頼できるソースだけからインストールする
- アプリがリクエストする許可の種類に注意する
- デバイスとデータを保護するために、ノートンなど適切なモバイル用セキュリティアプリをインストールする
- 重要なデータは必ず頻繁にバックアップを作成する
保護対策
シマンテックとノートンの製品は、今回お伝えしたキットで作成されたトロイの木馬を、以下の定義で検出します。
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。