Droidlockとして知られる新たなAndroidマルウェアは、感染したスマートフォンを攻撃者が完全に制御できるデバイスへと変貌させます。このマルウェアはランサムバナーで画面をロックし、アプリロックのコードを盗み取り、機密データへアクセスすることで、最終的にはシステム全体の乗っ取りを可能にします。
Zimperiumによると、Droidlockはフィッシングサイトを通じて配布され、システムアップデートを装っています。初期段階ではローダーがデバイスに配信され、被害者に対して、悪意ある本体ペイロードを含む二次モジュールのインストールを促します。この段階的な手法により、マルウェアはAndroidの制限を回避し、特権的なデバイス機能へのアクセスを獲得します。
一度権限が付与されると、DroidlockはSMSメッセージ、通話履歴、連絡先、音声録音へのアクセスを含む追加の特権を自動的に承認します。マルウェアはデバイス管理者権限を要求し、それによりデータのロックや消去、PIN・パスワード・生体認証設定の変更、デバイスの無音化、フロントカメラからの画像取得などを行うことができます。
コマンド&コントロール(C2)インフラとの通信には、HTTPとWebSocketプロトコルの組み合わせが用いられます。まずHTTP経由で基本的なデバイス情報が流出させられ、プロファイリングに利用された後、WebSocketチャネルを通じてコマンドの受信および収集データの送信が行われます。全体として、このマルウェアはリモート操作のために15種類のコマンドをサポートしています。
適切な指示を受け取ると、DroidlockはWebViewを介して全画面バナーを表示します。このメッセージはデバイス識別子とメールアドレスの提供を要求し、24時間以内に「身代金」が支払われなければ被害者のファイルを破壊すると脅迫します。Droidlockはデータを暗号化しないものの、デバイスのストレージを完全に消去できる能力を持つため、被害者にとって脅威は極めて現実的です。
特に危険なのは、その秘匿された画面キャプチャ機能です。Droidlockは永続的なバックグラウンドサービスとして動作し、MediaProjectionとVirtualDisplayを利用して画面を録画します。取得したフレームはJPEG画像に変換され、Base64でエンコードされたうえでリモートサーバーへ送信されます。この仕組みにより、画面上に表示されるあらゆる機密情報――認証情報やワンタイムの多要素認証コードを含む――を窃取することが可能になります。これまでのところ攻撃はスペインのユーザーを対象として観測されていますが、Droidlockの機能性からすると、より広範な拡散が十分に懸念されます。
