新たなモバイル脅威により、リモートの攻撃者がAndroidデバイスを乗っ取り、スマートフォンを監視ツールへと変貌させると同時に、ユーザー自身を自分のデータから締め出すことが可能になっています。
モバイルセキュリティ企業 Zimperium の zLabs に所属するサイバーセキュリティ研究者らは、このキャンペーンを DroidLock と名付けました。現在、スペインのユーザーを標的に、偽の悪意あるフィッシングサイトを通じて拡散されています。
Zimperium のセキュリティ研究者でありレポートの著者でもある Vishnu Pratapagiri 氏は、このマルウェアが、被害者のデバイスを「完全掌握」するよう設計されたランサムウェア(デバイスをロックし、支払いを要求するソフトウェア)と非常によく似た動作をすると指摘しています。
一度インストールを騙されて許可してしまうと、DroidLock は偽のシステムアップデート画面などの欺瞞的な手法を用いて、全画面の警告を表示し、被害者に攻撃者への連絡を強要します。
ハイジャックはどのように行われるのか
Hackread.com と共有された Zimperium の調査によると、この悪意あるプログラムは非常に組織的で、C2(コマンド&コントロール)サーバーと通信するために 15 種類のコマンドを使用しています。注目すべき点は、DroidLock は典型的なランサムウェアのようにファイルを暗号化するわけではないものの、それでも重大な被害を引き起こし得るということです。
さらに、デバイス管理者権限(Device Administrator Permission)を悪用して、「デバイスを完全にワイプする」あるいは PIN やパスワードを変更してユーザーを永久にロックアウトするなど、さまざまな不正行為を実行できるようになります、と Zimperium のブログ記事は述べています。
最も懸念される機能のひとつは、機密情報の盗み取り方です。研究者らは、DroidLock が二重オーバーレイ技術(実アプリの上に偽画面を重ねて表示する手法)を用いて、画面ロックのパターンやアプリの認証情報といった重要な情報を不正に収集していることを突き止めました。また、画面をストリーミングしたり、VNC(Virtual Network Computing)を通じてデバイスをリモート操作することも可能です。
もうひとつの重要な機能は、画面上のすべてのアクティビティを密かにキャプチャし、常時バックグラウンドで動作しながらリモートサーバーへ送信できる点です。この極めて危険な機能により、攻撃者はデバイスの画面に表示されるあらゆる機密情報、たとえばログイン情報や多要素認証(MFA)コードなどを盗み出すことができます。さらに、フロントカメラを使って被害者の顔画像を撮影することさえ可能です。
企業データが危険にさらされる可能性
この脅威が特に問題なのは、一般的に、従業員が企業情報へアクセスする手段の中で、モバイルデバイスが最も保護レベルの低い経路であることが多いからです。巧妙に作られたリンクをうっかりクリックするだけで、「デバイス全体の侵害」につながり、個人ユーザーだけでなく、業務用スマートフォン上の企業データにも影響が及びます。
調査では、DroidLock がスマートフォンのあらゆる部分をリモートで制御できることも明らかになりました。Zimperium の研究者らは、侵害されたスマートフォンが企業ネットワーク内部の「敵対的エンドポイント」と化すことから、モバイル保護の強化が不可欠だと強調しています。
翻訳元: https://hackread.com/droidlock-android-malware-users-spy-camera/
