ESET、画面ロックだけでなくデータを暗号化して身代金を要求するAndroid向けランサムウェア「DoubleLock…

20

DoubleLockerは革新的なAndroid向けマルウェアか?端末ロックだけでなく、データの暗号化も行う


セキュリティベンダーであるESETの研究員を務めるLukaš Štefanko氏は13日(現地時間)、Android向けのマルウェア「DoubleLocker」を発見したと報告しました。

DoubleLockerは、感染したAndroidを搭載したスマートフォン(スマホ)などの機器をただロックするだけでなく、機器内のデータ暗号化も行います。そのため、ESETはこのDoubleLockerを“革新的”なAndroid向けマルウェアだと説明しています。

DoubleLockerに感染すると、画面にロックされたと表示され、解除するには身代金として「0.0130ビットコイン(約7,750円)を支払うように」と画面上に表示されます。

ただ、どのランサムウェアにも言えることですが、身代金を支払ったからと行って必ずしもロック解除やデータの復元ができるとは限りません。

一番の対策は、やはりデータのバックアップをしっかりと取ること、発行者が確認できない不審なアプリケーションをむやみにインストールしないよう日々心掛けるほかないと思われます。

【Android向けマルウェアはバンキングトロイが主流だった】

Android向けマルウェアは、数多く存在していますが、その主流はオンラインバンキングのログイン情報不正取得を狙う、バンキングトロイでした。

ですが、このDoubleLockerにはオンラインバンキングのログイン情報は詐取する機能は搭載されて居らず、代わりとして「デバイスのロック解除PINコードの変更」と「デバイスのプライマリストレージのデータを全て暗号化する」2つの強烈な機能が搭載されています。

【DoubleLockerのデータの暗号化機能】

DoubleLockerに感染すると、プライマリーストレージ(通常は内蔵ストレージ)のデータがAES暗号化アルゴリズムを利用してすべて暗号化され、ファイル名の後ろに「.cryeye」という拡張子が付与されます。

ESETによると「この暗号化機能は適切に実装されているため、復号に利用する鍵を攻撃者から取得しない限り、ユーザー側でデータの復旧を行うことはできない」と述べています。

【自分自身をホームとして登録する】

またこのDoubleLockerは感染すると、はじめにGoogle Playサービスという名前のアクセシビリティー機能を有効化するようにリクエストしてきます。

この機能を有効化してしまうと、DoubleLockerはアクセシビリティーアクセス権を悪用して、ユーザーの同意無しにデフォルトのホームアプリをDoubleLockerに変更します。

こうすることで、ユーザーがホームボタンを押す度にDoubleLockerがアクティブ化されて、再度デバイスがロックされてしまうようになります。

【感染ルートは偽の「Adobe Flash Player」】

ESETではDoubleLockerの感染ルートは、不正に改ざんされたWebサイト上で配布されている偽の「Adobe Flash Player」が主とのことで、中身がDoubleLockerとなっているということです。

現時点ではアプリ配信マーケット「Google Playストア」で配布されているというわけではないため、発行元が不明なサードパーティーアプリをインストールしていない人であれば、感染する機会はほとんどありません。

しかしながら、Google Playストアからアプリをダウンロードするだけでなく、APKファイルをダウンロードしてアプリをインストールしている人であれば、日本国内にいたとしても感染するリスクは十分にあります。

記事執筆:YUKITO KATO

■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・DoubleLocker is an innovative ransomware that is misusing Android

(引用元:livedoor news)

0

20 コメント

Comments are closed.