研究者たちは、Android ユーザーを積極的に標的とする新たな脅威キャンペーンを分析しました。DroidLock と名付けられたこのマルウェアは、デバイスを乗っ取り、その後身代金を要求します。これまでのところ、このキャンペーンは主にスペイン語話者を標的にしていますが、研究者たちは今後拡大する可能性があると警告しています。
DroidLock は、ユーザーをだまして悪意のあるアプリをインストールさせるフィッシングサイト経由で配布されます。このアプリは、たとえば通信事業者やその他のなじみのあるブランドを装っています。実際には、このアプリはマルウェアをインストールするためのドロッパーであり、デバイス管理者(Device Admin)とユーザー補助サービス(Accessibility Services)の権限を悪用してデバイスを完全に制御できるようにします。
被害者がユーザー補助の権限を付与すると、マルウェアは自動的に追加の権限を承認し始めます。これには SMS、通話履歴、連絡先、音声へのアクセスが含まれる可能性があり、攻撃者は身代金要求の際により大きな脅し材料を得ることになります。
DroidLock はまた、ユーザー補助サービスを悪用して他のアプリ上にオーバーレイを作成します。これらのオーバーレイは、デバイスのロック解除パターンを取得(攻撃者に完全なアクセス権を与える)したり、偽の Android アップデート画面を表示して、被害者にデバイスの電源を切ったり再起動したりしないよう指示したりします。
DroidLock は、リモートアクセスと制御のために VNC(Virtual Network Computing)を使用します。これにより、攻撃者はリアルタイムでデバイスを操作でき、カメラの起動、サウンドのミュート、通知の操作、アプリのアンインストールなどを行い、さらにオーバーレイを使ってロックパターンやアプリの認証情報を盗み取ることができます。また、PIN を変更することでデバイスへのアクセスを拒否することも可能です。
研究者たちは次のように警告しています。
「一度インストールされると、DroidLock はデバイスをワイプし、PIN を変更し、OTP(ワンタイムパスワード)を傍受し、ユーザーインターフェースを遠隔操作することができます」
通常のランサムウェアとは異なり、DroidLock はファイルを暗号化しません。しかし、アクセスを遮断し、身代金を支払わなければすべてを破壊すると脅すことで、最終的には同じ結果をもたらします。
緊急
最後のチャンス
残り時間 {開始時は 24 時間}
この時間を過ぎると、すべてのファイルは永久に削除されます!
あなたのファイルは完全に破壊されます!
すべてを永遠に失いたくなければ、今すぐこのメールアドレスに連絡してください:{email address}
あなたのデバイス ID {ID} を記載してください
支払いは 24 時間以内に行ってください
警察への通報、復旧ツール、だまし行為は一切禁止
一秒一秒が命取りです!
安全を守る方法
このキャンペーンがスペインで成功を収めた場合、他の国でも必ず出現することになるでしょう。そこで、安全を保つためのポイントをいくつか挙げます。
- 公式アプリストアからのみアプリをインストールし、SMS、メール、メッセージアプリ内のリンクで宣伝されているアプリのインストールは避けてください。
- アプリをインストールする前に、単一の宣伝リンクを信用するのではなく、開発者名、ダウンロード数、ユーザーレビューを確認してください。
- デバイスを保護しましょう。すでにこのマルウェアを検出できる、Malwarebytes for Android のような、最新のリアルタイムマルウェア対策ソリューションを使用してください。
- 権限を注意深く確認しましょう。そのアプリが、あなたが望む機能を実行するために、本当に要求している権限を必要としているかどうかを考えてください。特に、ユーザー補助、SMS、カメラへのアクセスを求めている場合は要注意です。
- Android、Google Play 開発者サービス、および重要なアプリを常に最新の状態に保ち、最新のセキュリティ修正を適用してください。
