Android用の新しいランサムウェアオプション

以前に、ユーザーファイルを暗号化するSimplockerと呼ばれるAndroid用のランサムウェアの新しいバージョンについて書きました。 これで、このマルウェアの他の亜種に関する追加情報を入手できました。 これらの検出された変更は、次の点で互いに異なります。













Android / Simplocker.Bの場合の身代金要求フォームのスクリーンショット。被害者の肖像が描かれています。 買戻しの通貨はロシアルーブルで示されています。



AESアルゴリズムとハードワイヤードキーを使用した暗号化の簡素化されたアプローチは、発見したマルウェアのほとんどの変更に引き続き存在します。 さらに、これらの変更の一部には暗号化機能が含まれていません。つまり、ファイルを暗号化せず、単にデバイスへのアクセスをブロックします。



以前の投稿で述べたように、脅威はロシアとウクライナで最も広まっています。 ユーザーのデバイスに到達すると、Android / Simplockerは、ユーザーが自分のファイルにアクセスできなくなるため、かなりのトラブルを引き起こします。





図 ESET LiveGridクラウドテクノロジーに従ったAndroid / Simplockerの分布地理。



悪意のあるプログラムを検出する上で最も重要な問題の1つは、その発生源または感染経路、つまり、ユーザーのデバイスに到達する方法です。 ESET LiveGridテレメトリーシステムは、いくつかのAndroid / Simplocker感染ベクトルを示しました。 彼にとって、典型的な配布方法は、ポルノに関連するアプリケーションを装うことです。 さらに、攻撃者はランサムウェアをゲームとして偽装しました。たとえば、Grand Theft Auto:San Andreasです。





図 Android / Simplockerを配布するポルノサイト。





図 偽のゲームアイコンGrand Theft Auto:San Andreas。



調査の過程で、Android / Simplockerが別の悪意のあるプログラム、いわゆる メインのSimplockerファイルをリモートでダウンロードするダウンローダーまたはブートローダー。 このようなブートローダーの使用は、Windowsの世界では一般的な慣行ですが、最近で Android でも使用されています。



ダウンローダーは、Android用の追加のマルウェア配布ベクトルです。 前述のように、これらはソーシャルエンジニアリングの従来の方法、たとえばポルノの使用を補完します。 デバイスに悪意のあるコードをインストールする別の方法は、ソフトウェアまたはOSの脆弱性を悪用することです。



分析したダウンローダーのサンプルは、 Android / TrojanDownloader.FakeAppとして検出されます 。 彼はユーザーに、実際にはAndroid / Simplockerである偽のビデオプレーヤーをダウンロードするように説得します。 ダウンローダーなどのアプリケーションは、次の機能により、BouncerなどのGoogle Playセキュリティアプリケーションによる悪意のあるアクティビティの露出を回避する可能性が非常に高くなります。





さらに、分析したサンプルでは、​​アプリケーションに含まれるURLは、Simplockerからの悪意のあるAPKファイルを直接示していません。 その代わり、トロイの木馬は侵入者の制御下にある別のサーバーにリダイレクトされた後、デバイスにダウンロードされます。 このブートローダーは、アプリケーションストアでUSSDDualWidgetと呼ばれる正当なアプリケーションとして偽装しました。










All Articles