Android を狙って欧米で非常に広く拡散していたランサムウェアが、アジアにも広がっています。その最初の標的として、日本が狙われました。Android.Lockdroid によるこの攻撃活動は、システムアップデートに偽装して 3 月 11 日に始まりました。日本語設定のデバイスにインストールされたことを確認すると、身代金要求のメッセージを日本語で表示します。これは、欧米のユーザーを狙っていたモバイルランサムウェアがアジア言語でも登場した初めてのケースです。
図 1. 欧米各国と日本を狙う Android.Lockdroid の最近の亜種
Android.Lockdroid は、スマートフォンに侵入するとデバイスの管理者機能を要求し、デバイスをロックして使用不能にします。多くの場合、元どおり使えるようにするには、工場出荷時にリセットしなければなりません。
Android.Lockdroid の拡散
ほとんどの場合、Android.Lockdroid はアダルト向けサイトから手動でダウンロードされてデバイスに感染します。ユーザーがリンクをクリックしたときデバイスに自動的に侵入する場合もあり、そのリンクの大半はアダルトサイトの広告です。
図 2. アプリを拡散しているアダルト向けサイト
この Android.Lockdroid はアダルト動画のアプリに偽装して、インストールするようユーザーを誘導します。なかには、システムアップデートに偽装して、オペレーティングシステムにパッチ適用が必要だと信じ込ませる亜種もあります。3 月 11 日の攻撃で拡散したのは、主にシステムアップデートに偽装する亜種でした。
図 3. Android.Lockdroid は、アダルト動画アプリやシステムアップデートに偽装する
地域ごとに合わせた身代金要求メッセージ
インストールの途中で、このアプリはデバイス管理者機能を有効にするようユーザーに要求してきます。ユーザーがその要求に従うと、たとえ OS をセーフモードで起動しても削除できなくなります。
この亜種は、活動を開始するまで 30 分かそれ以上も待機します。これは、たった今インストールしたのが不正なアプリであるとユーザーに疑わせないためです。デバイスがインターネットに接続していない場合、あるいはコマンド & コントロール(C&C)サーバーにアクセスしにくい場合には、アプリをあとで再試行するよう求められます。
図 4. アプリがサーバーに接続できないときに表示されるメッセージ
C&C サーバーにアクセスできると、Android.Lockdroid はデバイス情報をアップロードして端末の設定言語を確認します。アプリのインストール先が日本語設定のデバイスであるとサーバーで確認されると、日本のユーザー向けにローカライズされた身代金要求メッセージを表示します。ユーザーの現在地が米国の場合、メッセージは英語で表示されますが、ヨーロッパのユーザーに表示されるのは各国の言語で書かれたメッセージです。ユーザーのいる地域に該当する身代金要求の言語がない場合、サーバーは英語でメッセージを送信しますが、このときの文面はインターポールを名乗っています。
図 5. メッセージの言語は地域によって異なる
シマンテックが調査した範囲では、日本以外のアジア地域向けにローカライズされたメッセージはありませんでした。確認したのは、中国、香港、インド、マレーシア、韓国、シンガポール、タイについてですが、これらの地域で表示されるのは、インターポールを名乗るメッセージでした。この解析結果からシマンテックは、この攻撃者が現在はまだ、日本語ユーザーを標的にしてアジア向けの脅威をテストしている段階だと結論しています。
脅迫の手口
どの言語でも、身代金要求のメッセージは同様で、ユーザーがこのデバイスで不正なポルノ画像を閲覧または保存したため、法執行機関がデバイスをロックしたという趣旨です。そのうえで、デバイスのロックを解除するには罰金を支払うようにと要求してきます。
アプリは、デバイスの対面カメラを使って被害者の写真を撮影することも試みます。身代金要求メッセージの一部としてその写真を表示するのですが、そのほかにも、デバイスからは IP アドレス、地域、デバイスのモデル、OS のバージョン、ユーザー名といったデータも収集されています。身代金を払わせるために、ユーザーをいかに脅すかという戦略です。
これまでの Android.Lockdroid 攻撃と同じく、今回の亜種も罰金の支払いには iTunes カードを使うように指示してきます。金額は、被害者の地域に応じて 10,000 円、100 米ドル、または 100 ユーロということになっています。
図 6. Android.Lockdroid の亜種で表示される身代金要求の画面。ユーザー自身の写真が表示され(左)、支払いが要求される(右)
対処方法
モバイルランサムウェアがアジアにも拡大するのは時間の問題でした。PC 向けのランサムウェアでも同様だったからです。アジアを狙うランサムウェア攻撃は、今後も増えるものとシマンテックは予測しています。
ユーザーは、セーフモードで Android.Lockdroid の削除を試みることができます。ただし、デバイス上に表示されるアプリの名前は、Android の設定画面に一覧される名前と異なる場合があることに注意してください。また、マルウェアがデバイス管理者機能を取得している場合には、ユーザーが削除することはできないため、端末を復元するには工場出荷時にリセットするしかありません。
Android.Lockdroid からデバイスを保護するために、以下の対策もお勧めします。
保護対策
シマンテック製品とノートン製品には、この攻撃活動で確認された Android.Lockdroid の亜種に対して次の検出定義が用意されています。
このブログで解析した .apks の MD5 の一部を以下に示します。
- 05a9fe032c557852df14be9c24e145bb
- 0be58a6dedbff9a2d08861acddd9ecf8
- 150171ee9bdace16028db879dc312a38
- 2edaf9b9dc0918dadc8ddfcedf49ca0f
- 3d846a285f70cc881fb59500a259bd17
- 432d6910a334f2dd4a17dcd5a513c374
- 47e1285eb9d63d6092ac1e4d3f8944ea
- 4bbafb6d3ae5f562b6a6b742cd25a5e6
- 5d7405d140b3607e5aef0418b0a3e6fe
- 684d849b6c1538946f55ddb800cf654d
- 716140c878595dca1c447e2a4d59ffaa
- 7f16f02a4091d0d70ce0726c7323f654
- 9a28af9abec460af199713a6b99e6154
- 9aefe49b536f13400d4669bc9051074f
- 9b2dee1d3d0f18f25048be5a84e7ec6f
- 9d2003315ce87f89a38fe5ba8dfcc113
- b307dbfbda494b98fc75762077a3f9bc
- b495bd826e3414cb1cf1701d090aca3a
- b5689dbf26452811e97b3a1c877a4f02
- bad492bb6ebc5bee77d33529371b4cef
- bba6b9b0c656507e0a9ca2c715d75bea
- bf35624f3f004606801f40ef1b5a7122
- c720f02f55839fddc580dc934df918b6
- f1015fa58b8a42e19749667d339002fc
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】