Android を標的とするFBIを装った警告画面を表示する新しいランサムウェア

7月 28, 2014 Sophos Press Release

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※
by Paul Ducklin on July 25, 2014
この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。

SophosLabs (ソフォスラボ) では、Android デバイスを標的とする新しいランサムウェアにつ いて警告するように呼びかけています。

一般的にランサムウェアは、マルウェアの一部でデバイスの画面いっぱいに広がって他のアプリケーションを触れなくなり、ポップアップを表示して、デバイスをロックします。また、データファイルを暗号化する場合もあります。

そして、ランサムウェアは、ロックの解除やデータの復号化理由に、金銭(身代金)の支払いを強要します。

スマートフォンのロックを解除したり、ファイルを復号化できる秘密のコードは、サイバー犯罪者だけしかもっていないのです。

復旧のためのこのコードを手に入れるには、金銭を支払わなければなりません。(支払ったところでコードがもらえる確証はありません)

この金銭(身代金)は、数 10 ~ 数百ドル、時には、数千ドルになる場合もあります。

支払は、通常 Bitcoin や Moneypak などの匿名性が高く、取り消しができない仕組みを利用します。

ランサムウェアの脅威は続く

デスクトップやノート PC へのランサムウェアによる攻撃は、この数年間続いています。

最も有名なロックアウト型のランサムウェアは Reveton でしょう。Reveton は、根拠もなく”デバイス利用者本人が罪を犯している”と して (通常はプライバシーの侵害やポルノの閲覧などのの濡れ衣が着せられます)、タスクマネージャを含む Windows のすべてのプログラムを利用できなくし、罰金として 300 ドル支払うように要求します。

ファイル暗号化型のランサムウェアでもっとも悪名が高いのは CryptoLocker です。このマルウェア に感染した場合、コンピュータはそのまま使用できますが、強力な暗号化アルゴリズムによってファイルが暗号化され、復号化させるためのキー(鍵)に 300 ドルを要求します。

→ CryptoLocker の中核をなす拠点 (サイバー犯罪者が運営しているサーバーで、各被害者に独自の暗号化/復号化キー(鍵)を生成して配信する拠 点) は、最近 米国の当局によって壊滅されました。残念なことですが、すぐに新しい亜種が発生し、ユーザーが感染することを防ぐことは難しい です。同じような新種のマルウェアが登場してくるからです。しかし、CryptoLocker の拠点の壊滅は評価できること であり、サイバー犯罪者に壊滅的な損害を与えています。

デスクトップやノート PC を標的としたランサムウェアによって、これまでに数百万ドル、恐らくは数億ドルの身代金が 世界中の不運な被害者から振り込まれているでしょう。このような状況の中で、当然サイバー犯罪者は、モバイルデバイスもターゲットとし、その悪意を向けています。

今回、SophosLabs によって報告された最新の Android ランサムウェアは、2014 年の 5 月にお伝えした Koler に特徴が非常に似ています。

しかし、この新しいマルウェアは Koler より、除去することが難しいので、よりタチが悪いです。

今回は、その駆除方法について簡単にご説明します。

FBILock-A

ソフォスやソフォス製品では今回の ランサムウェア (マルウェアを) Andr/FBILock-A として識別します。このマルウェアは Flash Player アプリを装います。

Android では、Flash はサポートされていません。さらに、Adobe 社の Flash Player も、Play Store でアドオンとしても利用できな くなっています。

これは、重要なヒントであり、ユーザーが不明なソース (Play Store 以外の第三者が用意したアプリ配布サイトなど) からアプリをインストールすることを許可しているとこのようなアプリが入り込むことになります。

アプリを開くと、デバイス管理者になるためのリクエスト画面 「Activate Device Administrator?」が表示されます。

これは、アプリがより多くの権限を取得できるようにするための Android の正規の機能です。

皮肉なことですが、デバイス管理者 (DA) の権限が付与されたアプリは、通常のアプリよりもさらに安全でなければなりません。DA アプリは、最小のパスワード長さ、データ暗号化、カメラの使用などの構成を強制する一元的に定義されるポリシーを受け取ることができるためです。

アプリを起動すると、要求された DA の権限をアプリに付与するかどうかに関わらず、Andr/FBILock-A はその名前の通りの行動を開始します。

「PROCEED」をタップするとすぐに、金銭を要求されます。

他のどのようなアプリを実行しようとしても、脅迫の画面が次々に表示される仕組みになっており、スマートフォンでは他の操作がほぼできなくなります。不正な動作を続けるアプリを終了するために使用する「Settings (設定)」 機能を使おうとしても、同じようにこの脅迫画面が表示されてしまいます。

セーフモードの使用

Koler マルウェアを除去する方法を説明したときにもお伝えしましたが、セーフモードを使用してスマートフォンを通常とおりに操作できるようになります。

セーフモードを有効にする方法はデバイスごとによって異なりますが、一般的には電源ボタンを押したままにして (電源オフをタップしたままにして)、「Reboot to safe mode (セーフモードで再起動する)」ダイアログが表示され たら、OK」を押します。

画面の左下に「Safe Mode (セーフモード)」と表示されたら、ユーザーがインストールしたアプリは実行されていませんので、FBILock も表示されず、削除できるようになります。

しかし、「Settings (設定)」 | 「Apps (アプリ)」にアクセスして、偽の Flash Player アイコンをタップすると、「Uninstall (アンインストール)」オプションが選択できないよう になっています。

「Settings (設定)」 | 「Security (セキュリティ)」にアクセスして、「Device administrators (デバイス管理機能)」画面にアクセスする必要があります。

FBILock アプリをタップすると、アプリに付与されている管理権限を無効にできます。

ここで、このマルウェアアプリの「Settings (設定)」 | 「Apps (アプリ)」 ページに移動して、 「Uninstall (アンインストール)」ボタンをタップします。

これでアプリをアンインストールできました。300 ドル支払う必要はありません。

次の手順

次の操作を行って、このようなマルウェアがインストールされないように対策しましょう。