DroidLock と名付けられた新たに発見された Android マルウェアは、被害者の画面をロックして身代金を要求できるほか、テキストメッセージ、通話履歴、連絡先、音声録音にアクセスしたり、データを消去したりすることもできます。
DroidLock は、VNC 共有システムを通じてオペレーターがデバイスを完全に制御できるようにし、画面上にオーバーレイを配置することでデバイスのロックパターンを盗み取ることができます。
モバイルセキュリティ企業 Zimperium の研究者によると、このマルウェアはスペイン語話者を標的としており、正規アプリを装った偽アプリを宣伝する悪意あるウェブサイトを通じて配布されています。
本日のレポートで Zimperium は、「感染は、実際のマルウェアを含む二次ペイロードのインストールをユーザーに欺いて行わせるドロッパーから始まる」と述べています。
出典: Zimperium
これらの悪意あるアプリは、アップデート要求を通じてメインペイロードを導入し、その後、デバイス管理者権限とユーザー補助サービスの権限を要求します。これにより、不正な行為を実行できるようになります。
実行可能なアクションには、デバイスのワイプ、ロック、PIN・パスワード・生体認証情報の変更などがあり、ユーザーがデバイスにアクセスできないようにします。
Zimperium の分析により、DroidLock は 15 種類のコマンドをサポートしていることが判明しました。これらのコマンドにより、通知の送信、画面上へのオーバーレイの配置、デバイスのミュート、工場出荷時設定へのリセット、カメラの起動、アプリのアンインストールなどが可能になります。
出典: Zimperium
ランサムウェアのオーバーレイは、対応するコマンドを受信するとすぐに WebView 経由で表示され、被害者に Proton メールアドレスで脅威アクターに連絡するよう指示します。ユーザーが 24 時間以内に身代金を支払わない場合、攻撃者はファイルを永久に破壊すると脅します。
出典: Zimperium
Zimperium は、DroidLock はファイルを暗号化しないものの、身代金を支払わなければファイルを破壊すると脅すことで、同じ目的を達成していると説明しています。さらに、脅威アクターはロックコードを変更することで、デバイスへのアクセス自体を拒否することもできます。
DroidLock は、悪意ある APK のアセットから読み込まれる別のオーバーレイを通じてロックパターンを盗み取ることができます。ユーザーが複製されたインターフェース上でパターンを描くと、その情報は攻撃者に直接送信されます。この機能の目的は、アイドル時に VNC を通じてデバイスへリモートアクセスできるようにすることです。
Google の App Defense Alliance の一員である Zimperium は、新たに発見したマルウェアを Android セキュリティチームと共有しているため、最新のデバイスでは Play プロテクトがこの脅威を検出・ブロックします。
Android ユーザーは、発行元が信頼できるソースでない限り、Google Play 以外から APK をサイドロードしないよう推奨されています。また、アプリが要求する権限がその用途に見合っているか常に確認し、定期的に Play プロテクトでデバイスをスキャンするべきです。
