2014年06月09日 20時00分メモ

Androidスマホの写真やムービーを暗号化し「人質」にして身代金を要求するマルウェアが発見される

By pedro veneroso

2014年5月にiPhoneをリモートでロックされ、「ロックを解除して欲しければPaypalで金を振り込め」というスマートフォンを「人質」に身代金を請求するハッキングが発生しましたが、Androidにもスマートフォンのデータを暗号化し「データ質」として身代金の振り込みを要求する極悪マルウェアが含まれているアプリが発見されました。

ESET analyzes Simplocker Android malware
http://www.welivesecurity.com/2014/06/04/simplocker/

◆データ暗号化マルウェア
セキュリティソフトウェア会社のESETは、公式ブログでAndroidスマートフォンの写真やムービーなどのデータを暗号化して「暗号を解読してほしければ金を振り込め」という警告を画面表示させるマルウェア「Android/Simplock.A」の存在を公表し、注意を呼びかけています。

Android/Simplock.AはAndroid端末で実行されると、SDカード内のファイルをスキャンして、jpeg・jpg・png・bmp・gif・pdf・doc・docx・txt・avi・mkv・3gp・mp4という拡張子を持つファイルをAESによって暗号化した上で、「暗号を解除して欲しければ金を振り込め」という警告アラートを表示させるとのこと。

以下の画像は、Android/Simplock.Aによって表示された警告アラート。身代金を要求するメッセージはロシア語で書かれており、ウクライナの通貨であるフリヴニャでの支払を指定しています。

この端末は、児童ポルノ・動物性愛その他の変態コンテンツを閲覧したためにロックされました。ロックを解除して欲しければ260UAH(約2200円)を支払う必要があります。

1.最寄りのキオスク端末の位置を確認する
2.「MoneXy」を選択
3.「REDACTED」をタップ
4.260UAHを送金

領収書を受け取ることをお忘れなく。送金完了後、24時間以内にロックが解除されます。なお、入金がない場合、端末上のすべてのデータが失われます！

また、ESETの分析によると、Android/Simplock.Aは外部のネットワークにIMEIなどの端末識別情報を送信しており、送信先は匿名性の高い暗号化されたネットワークであるTor上にあることが判明しています。

ESETはAndroid/Simplock.Aのアラートの表記がロシア語でありウクライナ通貨での支払いを要求していることから、Android/Simplock.Aはロシア・ウクライナ地域のユーザーをターゲットにしていると推測しています。なお、Android/Simplock.Aが発見されたのは「Sex xionix」というアプリで、Google Playストアでは配布されていないいわゆる「提供元不明アプリ」とのこと。そのため、Android/Simplock.Aに感染した端末はまだ、それほど多くないと考えられています。

◆ランサムウェア対策
もっとも身代金を要求するタイプのマルウェア「ランサムウェア」にはAndroid/Simplock.Aのようにデータを暗号化する手法以外にも、端末をロックして使用不能にするロック型マルウェアもあり、こちらも世界的に流行の兆しが見られます。このようなロック型のランサムウェアの場合、一切端末操作できなくなるため画面をロックしたアプリをアンインストールすることが困難です。

そこで、Android端末がランサムウェアなどの不正なマルウェアによってロックされ操作不能になった場合には、アプリの起動を停止した状態で起動できる「セーフモード」機能を使ってアプリのアンインストールを試みると有効なことがあるので、いざというときのために覚えておくと損はありません。

Nexus 5でのセーフモードによる起動方法は、電源ボタンを長押しして表示される「電源を切る」を長押しします。