Androidのランサムウェアの解剖学、パート1

ランサムウェア（ランサムウェア）は、モバイルデバイス向けの特別な種類のマルウェアであり、その数は常に増加しています。 ランサムウェアは2つの大きなグループに分けることができます。前者はユーザーのデバイス画面のロックを専門とするもの（ロック画面ランサムウェア）、後者はその上でデータを暗号化するもの（暗号ランサムウェア）です。 彼らの活動の数年の間、これらのタイプは両方とも、ユーザーの重大な経済的損失と個人データの損失にすでにつながっています。







SMSトロイの木馬など、Androidの他の種類のマルウェアと同様に、ランサムウェアは過去数年間で大幅に進化しましたが、VXの作成者はデスクトップシステムの同様のマルウェアで有効であることが証明された多くの悪意のある手法を採用しています。



一般的な情報



WindowsとAndroidの両方のランサムウェアは、ロック画面のテーマとして警察のランサムウェアテーマを使用します。 このトピックは非常に効果的です。攻撃者はユーザーの罪悪感を利用して、デバイス上で違法コンテンツを表示または保存したと非難します。 モバイルランサムウェアには、Cryptolockerなどの悪名高いWindowsマルウェアファミリと同様の機能があります。たとえば、ファイルを暗号化するときに強力な暗号化アルゴリズムを使用して、ユーザーが暗号化ファイルへのアクセスを復元できないようにします。 ユーザーは大量の個人データをスマートフォンに保存するため、大量のユーザーデータを失うリスクが大幅に増加します。



私たちが成し遂げた興味深い観察の1つは、攻撃者の地理的方向を東ヨーロッパから他の国に変更することです。 たとえば、ランサムウェアファミリーAndroid / SimplockerおよびAndroid / Lockerpinの被害者の大部分は米国にいます。



上記のタイプのランサムウェアはいずれも、2013年以降、Windowsユーザーにとって非常に一般的な問題でした。2013年以降、サイバー犯罪者の間でこれらの悪意のあるプログラムの人気が大幅に増加し始めたのは、それらがはるかに早く拡散したにもかかわらずです。 ランサムウェアのfest延は、一般ユーザーと企業ユーザーの両方に深刻な問題をもたらしました。





図 ESET LiveGridによるAndroidのランサムウェア検出統計。



Android専用の攻撃者によるランサムウェアの使用は偶然ではありません。 このOS上のスマートフォンの数が年々増加しているため、ユーザーは個人の貴重なデータを保存するためにスマートフォンをますます選択しています。 したがって、そのようなビジネスは彼らに最大の利益をもたらします。



可能な感染ベクター



攻撃者は、Androidランサムウェアに対して他のマルウェアと同じ変装を使用します。これは、アプリケーションの正当性をユーザーに納得させることにあります。 ゲームなどのさまざまな人気のあるアプリケーションやポルノ関連のアプリケーションは、多くの場合、カバーとして選択され、潜在的な被害者が侵害される可能性を高めます。 場合によっては、悪意のあるAPKファイルに正当なアプリケーションのアイコンと名前が提供されます。 別のシナリオでは、悪意のあるコードが挿入された正当なアプリケーションを攻撃者が直接使用する一方で、アプリケーションの元の機能は保持されます。 悪意のあるプログラムの動作は、デバイスユーザーには見えない可能性があります。これは、バックドアやSMSトロイの木馬のように、作成者が画面ロックやファイル暗号化メカニズムに依存していない場合に発生します。 正当なアプリケーションのこのような変更は、デジタル署名で指定されたデータの整合性と一貫性の侵害につながることに注意する必要があります。



Googleが説明したランサムウェアは、Google Playアプリストアでは見つからなかったことに注意してください。 ただし、Googleが絶えず改善しているGoogle Playストアのセキュリティ対策を迂回するマルウェアの例があります。 アナリストは、偽のAV、ID盗難機能を備えたスパイウェア、クリック詐欺のトロイの木馬、バックドア、広告配信を伴う不要と思われるアプリケーション（PUA）などのマルウェアを含む、数百のAndroidマルウェアの例を発見し、Googleに送信しました。アプリケーションなど。 また、ウイルス作成者は、ダウンローダーだけでなくダウンローダー（ダウンローダー）を使用して実際のペイロードを遅らせるような方法で、デバイスに感染する特別な方法を適用します。 一方、ドライブバイダウンロードマルウェアの自動インストールなどの高度な技術の使用は、Androidでは一般的ではありません。



管理C＆Cサーバーとの相互作用



システムへのインストールが成功すると、ほとんどのAndroidマルウェアはこの「ホーム」、つまりリモートC＆Cサーバーに報告します。 通常、この送信メッセージには、デバイスモデル、IMEI番号、使用言語など、デバイスに関する基本情報が含まれます。C＆Cサーバーとボットの間に永続的な接続が確立された場合、攻撃者は実行するコマンドを送信できます。 したがって、攻撃者はAndroidを実行しているデバイスからボットネットを制御できます。



Androidのランサムウェアをサポートするリモートコマンドの例を以下に示します。

• Webブラウザで目的のURLを開きます。
• すべての連絡先にSMSメッセージを送信します。
• デバイスをロックまたはロック解除します。
• デバイスから攻撃者にSMSメッセージを送信します。
• 被害者の連絡先に関する情報を攻撃者に送信する。
• 身代金要求のある目的のメッセージテキストを選択します。
• 新しいバージョンへのアップグレード。
• デバイスへのデータの保存を許可または禁止します。
• Wi-Fi接続を許可または拒否します。
• GPSを使用して地理的位置を追跡します。

通常、HTTPプロトコルはボットをリモートサーバーに接続するために使用されますが、場合によっては、Google Cloud Messagingなどのパブリックサービスを使用してC＆Cとやり取りすることも確認されています。 このサービスにより、スマートフォン上のAndroidアプリケーションがデータを交換できます。 悪意のある目的のために、Baidu Cloud Pushサービスも使用されます。 分析したマルウェアのサンプルには、匿名のTorサービス（.onionドメイン）とXMPPプロトコル（jabber）を使用しました。 Androidトロイの木馬は、SMSメッセージを使用してコマンドを受信し、リモートでデータを送信できます。



自己防衛方法



Androidを実行しているユーザーのデバイスにマルウェアを感染させるタスクは、攻撃者にとって簡単なタスクではありません。 ESET Mobile Securityなど、ウイルス対策ソリューションがインストールされていないユーザーでも、OS自体のマルウェアから保護するメカニズムがあります。 サイバー犯罪者による保護メカニズムの回避後、彼らは悪意のあるプログラムを可能な限り長く保つことに関心があります。



Androidマルウェアがさまざまな自己防衛メカニズムを使用し、それらのアクティビティがシステムから中断または削除されるのを防ぐことが確認されました。 たとえば、 Android / Lockerpinランサムウェアは、ウイルス対策ソリューションのプロセスを凍結する可能性があります。 ウイルス作成者の使用において多く見られる最も普遍的な方法の1つは、デバイス管理者特権を取得することです。 この操作モードはルート権限を取得するほど危険ではないという事実にもかかわらず、デバイスで取得された後も攻撃者に拡張権限を提供します。





図 システムの管理者権限を要求するAndroidマルウェアの例。



デバイス管理者特権を持つ正当なアプリケーションは、通常セキュリティに関連付けられているさまざまな目的のために、OSでそのような高度な特権を使用します。 対照的に、悪意のあるアプリケーションはそれらを使用して、システムから削除されないように保護します。 そのようなアプリケーションをAndroidから削除する前に、その管理者権限を取り消す必要があります。 Android / Lockerpinなどの一部のマルウェアは、受け取った特権を使用して、ロック画面のPINコードを設定または変更します。





図 Android向けのランサムウェアの登場のタイムライン。



Android向けランサムウェアの最初の出現例には、偽のウイルス対策に悪意のある機能が追加されました。 このような偽のアンチウイルスは、Androidでは2012年から、コンピューターでは2004年以降、長い間一般的に使用されてきました。 名前が示すように、このようなプログラムは、デバイス上のファイルのスキャンに関する偽のメッセージをユーザーに見せてから、彼をだまそうとし、ウイルス対策による脅威を中和するためのさらなるアクションに対して支払いを要求するメッセージを表示します。 これらのプログラムは、「スケアウェア」とも呼ばれます。これは、デバイスのアクティブな感染の存在に脅かされた後、被害者から金銭を強要するためです。



Windowsの画面ロック機能を備えたほとんどのランサムウェアデバイスは、警察ランサムウェアテーマを使用してユーザーを脅迫します。 攻撃者はランサムウェアとAndroidで同様の方法を使用し始めました。 このタイプのランサムウェアは、法執行機関に代わって被害者に対処し、デバイスで違法行為が検出されたことが通知されるため、ユーザーから金銭を強奪する可能性を大幅に高めます。



Android用のランサムウェアランサムウェアの最初のバージョンは、2014年5月にSimplockerと呼ばれるマルウェアファミリでした。過去3年間、Androidランサムウェアは開発を続けており、その間にこのマルウェアのいくつかの新しいファミリが発見されました。



Android Defender



このマルウェアは2013年半ばに最初に検出され、Android用の偽のアンチウイルスの例であり、実際、Android用の最初のランサムウェアです。 下の図を見るとわかるように、悪意のあるアプリケーションのユーザーインターフェイスは、正当な対応物を模倣しようとしています。 攻撃者は、このような機能を提供して、ユーザーにウイルス対策の正当性を説得します。 ディスク上のファイルの偽のスキャン中に、トロイの木馬はメモリカードに実際に存在するファイルの名前を表示するため、このプロセスはユーザーの目にはさらに信じられます。 マルウェアファミリの名前も既存であることが示されていますが、ユーザーのデバイスとは関係ありません。







図 偽のウイルス対策Android Defender（偽のAV）の外観。



この段階では、ユーザーは「保護されていない状態を継続する」という設定に引き続きアクセスでき、アプリケーションを閉じることもできます。 ただし、偽のウイルス対策ソフトウェアに属する起動されたOS補助サービスにより、スマートフォンはほとんど使用できなくなり、ユーザーがアプリケーションを起動しようとするたびに特別な警告ウィンドウが常に表示されます。 「保護されないままにする」設定を選択すると、ユーザーは現在のポップアップウィンドウからのみ自分を保存し、すぐに新しいポップアップウィンドウを受け取ります。





図 悪意のあるプログラムによって修正されたメッセージは、デバイスでの通常の作業の可能性をユーザーから奪います。



スマートフォンの所有者が侵入者のトリックに屈して、「フルバージョンのウイルス対策」に切り替えるために必要な金額を支払うことにした場合、彼の失望はそこで終わりません。 システムでの起動から6時間後、悪意のあるプログラムは、デバイスの画面全体にポルノ画像のウィンドウを表示しますが、閉じることはできません。





図 ポルノ写真付きのAndroid Defenderロック画面。



支払いの際、スマートフォンの所有者は、攻撃者にクレジットカード情報を残します。これは、不正な取引を行うために使用できます。 スクリーンショットに示されているように、詐欺師はユーザーに割引を提供し、金額を89.99ドルに減らします。



ESET Mobile Securityウイルス対策製品は、Android DefenderをAndroid / FakeAV.Bとして検出します。



偽のウイルス対策およびポルノ機能を備えたランサムウェア



偽のアンチウイルスという別のタイプのランサムウェアは、Android Defender製品のインターフェイスをコピーするのではなく、アバストの正当なセキュリティアプリケーションの名前をコピーします。 これは、 Android / FakeAV.EなどのESETウイルス対策製品によって検出されるマルウェアプログラムです。 彼女は有名なリソースPornHubのブランドを使用して、このリソースへの訪問者の中から視聴者を見つけています。





図 ランサムウェアは、ポルノを見るためのアプリケーションを装います。



アプリケーションを開始した後、ユーザーはポルノビデオを見る代わりに、デバイスのウイルスをチェックする必要があるというメッセージを受け取ります。 [OK]ボタンをクリックすると、アバストに似た偽のアンチウイルスが擬似スキャンを開始します。







図 Android / FakeAV.Eランサムウェアは、偽のAvastウイルス対策アプリケーションになりすます。



詐欺師がユーザーに表示する情報はかなり奇妙です。 まず、メッセージ自体は「デバイスが危険にさらされており、セキュリティ上の理由でブロックされた」ことを示しています。 さらに、擬似セキュリティソフトウェアの拡張バージョンを購入することを提案します。 デバイスをブロックすることは正当なウイルス対策の機能に明らかに対応しないため、このような動作により、ユーザーは受け取ったソフトウェアの真の意図をユーザーに与えます。 ユーザーに表示されるメッセージ画面では、起こりうる法的結果を回避するために、100ドルの罰金を支払う必要があります。





図 Android / FakeAV.Eの差し押さえ支払い。



このランサムウェアの作成者は、テキストに同じ文法エラーが見つかったため、別の悪意のあるプログラムに身代金を要求するテキストメッセージをコピーしたという印象を受けました。



警察の恐tor者



Ransomware for Windowsは、さまざまなテーマを使用してロック画面としてデモンストレーションしました。 以前のサンプルでは、​​死のブルースクリーン（BSOD）テーマまたはWindowsアクティベーションメッセージを使用していました。 攻撃者がロック画面に使用したさまざまなトピックを見つけましたが、最も一般的なのは法執行機関（警察）のテーマでした。



このような警察の恐tor者は、デバイスが違法な内容を含んでいるか、デバイスから違法な活動が行われたため、デバイスが地元の法執行機関によってブロックされたと主張しました。 ロック画面のテキストが使用されたため、刑法から記事が取られることがありました。 また、適切な金額を支払うと、ユーザーは責任を免除されると主張しています。 このタイプのランサムウェアは、多くの場合、IPアドレスに基づく位置情報を使用して、目的の州の法執行バッジを含む目的のバナーを選択します。





図 最初の警察のランサムウェアは、ロシア語を話すAndroidユーザーを対象としています。



Android用の警察ランサムウェアの最初のインスタンスは2014年前半に登場し、ロシア語を話すユーザーを対象としています。 すぐに、オプションが英語で発見されました。







図 Android / Locker extortionistは、カメラのスナップショットとジオロケーションを使用してユーザーを脅迫します;例では、ロシア、ウクライナ、およびカザフスタンのロック画面を示しています。







図 Android / Kolerランサムウェアは、英語を話すユーザーを危険にさらすようになりました。



ESETウイルス対策製品は、 Android / KolerやAndroid / Lockerなどの上記のランサムウェアのインスタンスを検出します。