DoubleLockerは革新的なAndroid向けマルウェアか?端末ロックだけでなく、データの暗号化も行う |
セキュリティベンダーであるESETの研究員を務めるLukaš Štefanko氏は13日(現地時間)、Android向けのマルウェア「DoubleLocker」を発見したと報告しました。
DoubleLockerは、感染したAndroidを搭載したスマートフォン(スマホ)などの機器をただロックするだけでなく、機器内のデータ暗号化も行います。そのため、ESETはこのDoubleLockerを“革新的”なAndroid向けマルウェアだと説明しています。
DoubleLockerに感染すると、画面にロックされたと表示され、解除するには身代金として「0.0130ビットコイン(約7,750円)を支払うように」と画面上に表示されます。
ただ、どのランサムウェアにも言えることですが、身代金を支払ったからと行って必ずしもロック解除やデータの復元ができるとは限りません。
一番の対策は、やはりデータのバックアップをしっかりと取ること、発行者が確認できない不審なアプリケーションをむやみにインストールしないよう日々心掛けるほかないと思われます。
【Android向けマルウェアはバンキングトロイが主流だった】
Android向けマルウェアは、数多く存在していますが、その主流はオンラインバンキングのログイン情報不正取得を狙う、バンキングトロイでした。
ですが、このDoubleLockerにはオンラインバンキングのログイン情報は詐取する機能は搭載されて居らず、代わりとして「デバイスのロック解除PINコードの変更」と「デバイスのプライマリストレージのデータを全て暗号化する」2つの強烈な機能が搭載されています。
【DoubleLockerのデータの暗号化機能】
DoubleLockerに感染すると、プライマリーストレージ(通常は内蔵ストレージ)のデータがAES暗号化アルゴリズムを利用してすべて暗号化され、ファイル名の後ろに「.cryeye」という拡張子が付与されます。
ESETによると「この暗号化機能は適切に実装されているため、復号に利用する鍵を攻撃者から取得しない限り、ユーザー側でデータの復旧を行うことはできない」と述べています。
【自分自身をホームとして登録する】
またこのDoubleLockerは感染すると、はじめにGoogle Playサービスという名前のアクセシビリティー機能を有効化するようにリクエストしてきます。
この機能を有効化してしまうと、DoubleLockerはアクセシビリティーアクセス権を悪用して、ユーザーの同意無しにデフォルトのホームアプリをDoubleLockerに変更します。
こうすることで、ユーザーがホームボタンを押す度にDoubleLockerがアクティブ化されて、再度デバイスがロックされてしまうようになります。
【感染ルートは偽の「Adobe Flash Player」】
ESETではDoubleLockerの感染ルートは、不正に改ざんされたWebサイト上で配布されている偽の「Adobe Flash Player」が主とのことで、中身がDoubleLockerとなっているということです。
現時点ではアプリ配信マーケット「Google Playストア」で配布されているというわけではないため、発行元が不明なサードパーティーアプリをインストールしていない人であれば、感染する機会はほとんどありません。
しかしながら、Google Playストアからアプリをダウンロードするだけでなく、APKファイルをダウンロードしてアプリをインストールしている人であれば、日本国内にいたとしても感染するリスクは十分にあります。
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・DoubleLocker is an innovative ransomware that is misusing Android
(引用元:livedoor news)
DoubleLocker
Adobe Flash Player
アクセシビリティー
tefanko
プライマリストレージ
Google Playストア
Facebookページ・DoubleLocker is an innovative
バンキングトロイ
Android向けマルウェア
smaxjp on Twitter・S-MAX
アクセシビリティーアクセス権
YUKITO KATO
オンラインバンキング
ESET
身代金
データ
Google Playサービス
cryeye
デバイス
アクセシビリティー機能
Comments are closed.