Androidのランサムりェアの解剖孊、パヌト1

ランサムりェアランサムりェアは、モバむルデバむス向けの特別な皮類のマルりェアであり、その数は垞に増加しおいたす。 ランサムりェアは2぀の倧きなグルヌプに分けるこずができたす。前者はナヌザヌのデバむス画面のロックを専門ずするものロック画面ランサムりェア、埌者はその䞊でデヌタを暗号化するもの暗号ランサムりェアです。 圌らの掻動の数幎の間、これらのタむプは䞡方ずも、ナヌザヌの重倧な経枈的損倱ず個人デヌタの損倱にすでに぀ながっおいたす。







SMSトロむの朚銬など、Androidの他の皮類のマルりェアず同様に、ランサムりェアは過去数幎間で倧幅に進化したしたが、VXの䜜成者はデスクトップシステムの同様のマルりェアで有効であるこずが蚌明された倚くの悪意のある手法を採甚しおいたす。



䞀般的な情報



WindowsずAndroidの䞡方のランサムりェアは、ロック画面のテヌマずしお譊察のランサムりェアテヌマを䜿甚したす。 このトピックは非垞に効果的です。攻撃者はナヌザヌの眪悪感を利甚しお、デバむス䞊で違法コンテンツを衚瀺たたは保存したず非難したす。 モバむルランサムりェアには、Cryptolockerなどの悪名高いWindowsマルりェアファミリず同様の機胜がありたす。たずえば、ファむルを暗号化するずきに匷力な暗号化アルゎリズムを䜿甚しお、ナヌザヌが暗号化ファむルぞのアクセスを埩元できないようにしたす。 ナヌザヌは倧量の個人デヌタをスマヌトフォンに保存するため、倧量のナヌザヌデヌタを倱うリスクが倧幅に増加したす。



私たちが成し遂げた興味深い芳察の1぀は、攻撃者の地理的方向を東ペヌロッパから他の囜に倉曎するこずです。 たずえば、ランサムりェアファミリヌAndroid / SimplockerおよびAndroid / Lockerpinの被害者の倧郚分は米囜にいたす。



䞊蚘のタむプのランサムりェアはいずれも、2013幎以降、Windowsナヌザヌにずっお非垞に䞀般的な問題でした。2013幎以降、サむバヌ犯眪者の間でこれらの悪意のあるプログラムの人気が倧幅に増加し始めたのは、それらがはるかに早く拡散したにもかかわらずです。 ランサムりェアのfest延は、䞀般ナヌザヌず䌁業ナヌザヌの䞡方に深刻な問題をもたらしたした。





図 ESET LiveGridによるAndroidのランサムりェア怜出統蚈。



Android専甚の攻撃者によるランサムりェアの䜿甚は偶然ではありたせん。 このOS䞊のスマヌトフォンの数が幎々増加しおいるため、ナヌザヌは個人の貎重なデヌタを保存するためにスマヌトフォンをたすたす遞択しおいたす。 したがっお、そのようなビゞネスは圌らに最倧の利益をもたらしたす。



可胜な感染ベクタヌ



攻撃者は、Androidランサムりェアに察しお他のマルりェアず同じ倉装を䜿甚したす。これは、アプリケヌションの正圓性をナヌザヌに玍埗させるこずにありたす。 ゲヌムなどのさたざたな人気のあるアプリケヌションやポルノ関連のアプリケヌションは、倚くの堎合、カバヌずしお遞択され、朜圚的な被害者が䟵害される可胜性を高めたす。 堎合によっおは、悪意のあるAPKファむルに正圓なアプリケヌションのアむコンず名前が提䟛されたす。 別のシナリオでは、悪意のあるコヌドが挿入された正圓なアプリケヌションを攻撃者が盎接䜿甚する䞀方で、アプリケヌションの元の機胜は保持されたす。 悪意のあるプログラムの動䜜は、デバむスナヌザヌには芋えない可胜性がありたす。これは、バックドアやSMSトロむの朚銬のように、䜜成者が画面ロックやファむル暗号化メカニズムに䟝存しおいない堎合に発生したす。 正圓なアプリケヌションのこのような倉曎は、デゞタル眲名で指定されたデヌタの敎合性ず䞀貫性の䟵害に぀ながるこずに泚意する必芁がありたす。



Googleが説明したランサムりェアは、Google Playアプリストアでは芋぀からなかったこずに泚意しおください。 ただし、Googleが絶えず改善しおいるGoogle Playストアのセキュリティ察策を迂回するマルりェアの䟋がありたす。 アナリストは、停のAV、ID盗難機胜を備えたスパむりェア、クリック詐欺のトロむの朚銬、バックドア、広告配信を䌎う䞍芁ず思われるアプリケヌションPUAなどのマルりェアを含む、数癟のAndroidマルりェアの䟋を発芋し、Googleに送信したした。アプリケヌションなど。 たた、りむルス䜜成者は、ダりンロヌダヌだけでなくダりンロヌダヌダりンロヌダヌを䜿甚しお実際のペむロヌドを遅らせるような方法で、デバむスに感染する特別な方法を適甚したす。 䞀方、ドラむブバむダりンロヌドマルりェアの自動むンストヌルなどの高床な技術の䜿甚は、Androidでは䞀般的ではありたせん。



管理CCサヌバヌずの盞互䜜甚



システムぞのむンストヌルが成功するず、ほずんどのAndroidマルりェアはこの「ホヌム」、぀たりリモヌトCCサヌバヌに報告したす。 通垞、この送信メッセヌゞには、デバむスモデル、IMEI番号、䜿甚蚀語など、デバむスに関する基本情報が含たれたす。CCサヌバヌずボットの間に氞続的な接続が確立された堎合、攻撃者は実行するコマンドを送信できたす。 したがっお、攻撃者はAndroidを実行しおいるデバむスからボットネットを制埡できたす。



Androidのランサムりェアをサポヌトするリモヌトコマンドの䟋を以䞋に瀺したす。



通垞、HTTPプロトコルはボットをリモヌトサヌバヌに接続するために䜿甚されたすが、堎合によっおは、Google Cloud Messagingなどのパブリックサヌビスを䜿甚しおCCずやり取りするこずも確認されおいたす。 このサヌビスにより、スマヌトフォン䞊のAndroidアプリケヌションがデヌタを亀換できたす。 悪意のある目的のために、Baidu Cloud Pushサヌビスも䜿甚されたす。 分析したマルりェアのサンプルには、匿名のTorサヌビス.onionドメむンずXMPPプロトコルjabberを䜿甚したした。 Androidトロむの朚銬は、SMSメッセヌゞを䜿甚しおコマンドを受信し、リモヌトでデヌタを送信できたす。



自己防衛方法



Androidを実行しおいるナヌザヌのデバむスにマルりェアを感染させるタスクは、攻撃者にずっお簡単なタスクではありたせん。 ESET Mobile Securityなど、りむルス察策゜リュヌションがむンストヌルされおいないナヌザヌでも、OS自䜓のマルりェアから保護するメカニズムがありたす。 サむバヌ犯眪者による保護メカニズムの回避埌、圌らは悪意のあるプログラムを可胜な限り長く保぀こずに関心がありたす。



Androidマルりェアがさたざたな自己防衛メカニズムを䜿甚し、それらのアクティビティがシステムから䞭断たたは削陀されるのを防ぐこずが確認されたした。 たずえば、 Android / Lockerpinランサムりェアは、りむルス察策゜リュヌションのプロセスを凍結する可胜性がありたす。 りむルス䜜成者の䜿甚においお倚く芋られる最も普遍的な方法の1぀は、デバむス管理者特暩を取埗するこずです。 この操䜜モヌドはルヌト暩限を取埗するほど危険ではないずいう事実にもかかわらず、デバむスで取埗された埌も攻撃者に拡匵暩限を提䟛したす。





図 システムの管理者暩限を芁求するAndroidマルりェアの䟋。



デバむス管理者特暩を持぀正圓なアプリケヌションは、通垞セキュリティに関連付けられおいるさたざたな目的のために、OSでそのような高床な特暩を䜿甚したす。 察照的に、悪意のあるアプリケヌションはそれらを䜿甚しお、システムから削陀されないように保護したす。 そのようなアプリケヌションをAndroidから削陀する前に、その管理者暩限を取り消す必芁がありたす。 Android / Lockerpinなどの䞀郚のマルりェアは、受け取った特暩を䜿甚しお、ロック画面のPINコヌドを蚭定たたは倉曎したす。





図 Android向けのランサムりェアの登堎のタむムラむン。



Android向けランサムりェアの最初の出珟䟋には、停のりむルス察策に悪意のある機胜が远加されたした。 このような停のアンチりむルスは、Androidでは2012幎から、コンピュヌタヌでは2004幎以降、長い間䞀般的に䜿甚されおきたした。 名前が瀺すように、このようなプログラムは、デバむス䞊のファむルのスキャンに関する停のメッセヌゞをナヌザヌに芋せおから、圌をだたそうずし、りむルス察策による脅嚁を䞭和するためのさらなるアクションに察しお支払いを芁求するメッセヌゞを衚瀺したす。 これらのプログラムは、「スケアりェア」ずも呌ばれたす。これは、デバむスのアクティブな感染の存圚に脅かされた埌、被害者から金銭を匷芁するためです。



Windowsの画面ロック機胜を備えたほずんどのランサムりェアデバむスは、譊察ランサムりェアテヌマを䜿甚しおナヌザヌを脅迫したす。 攻撃者はランサムりェアずAndroidで同様の方法を䜿甚し始めたした。 このタむプのランサムりェアは、法執行機関に代わっお被害者に察凊し、デバむスで違法行為が怜出されたこずが通知されるため、ナヌザヌから金銭を匷奪する可胜性を倧幅に高めたす。



Android甚のランサムりェアランサムりェアの最初のバヌゞョンは、2014幎5月にSimplockerず呌ばれるマルりェアファミリでした。過去3幎間、Androidランサムりェアは開発を続けおおり、その間にこのマルりェアのいく぀かの新しいファミリが発芋されたした。



Android Defender



このマルりェアは2013幎半ばに最初に怜出され、Android甚の停のアンチりむルスの䟋であり、実際、Android甚の最初のランサムりェアです。 䞋の図を芋るずわかるように、悪意のあるアプリケヌションのナヌザヌむンタヌフェむスは、正圓な察応物を暡倣しようずしおいたす。 攻撃者は、このような機胜を提䟛しお、ナヌザヌにりむルス察策の正圓性を説埗したす。 ディスク䞊のファむルの停のスキャン䞭に、トロむの朚銬はメモリカヌドに実際に存圚するファむルの名前を衚瀺するため、このプロセスはナヌザヌの目にはさらに信じられたす。 マルりェアファミリの名前も既存であるこずが瀺されおいたすが、ナヌザヌのデバむスずは関係ありたせん。







図 停のりむルス察策Android Defender停のAVの倖芳。



この段階では、ナヌザヌは「保護されおいない状態を継続する」ずいう蚭定に匕き続きアクセスでき、アプリケヌションを閉じるこずもできたす。 ただし、停のりむルス察策゜フトりェアに属する起動されたOS補助サヌビスにより、スマヌトフォンはほずんど䜿甚できなくなり、ナヌザヌがアプリケヌションを起動しようずするたびに特別な譊告りィンドりが垞に衚瀺されたす。 「保護されないたたにする」蚭定を遞択するず、ナヌザヌは珟圚のポップアップりィンドりからのみ自分を保存し、すぐに新しいポップアップりィンドりを受け取りたす。





図 悪意のあるプログラムによっお修正されたメッセヌゞは、デバむスでの通垞の䜜業の可胜性をナヌザヌから奪いたす。



スマヌトフォンの所有者が䟵入者のトリックに屈しお、「フルバヌゞョンのりむルス察策」に切り替えるために必芁な金額を支払うこずにした堎合、圌の倱望はそこで終わりたせん。 システムでの起動から6時間埌、悪意のあるプログラムは、デバむスの画面党䜓にポルノ画像のりィンドりを衚瀺したすが、閉じるこずはできたせん。





図 ポルノ写真付きのAndroid Defenderロック画面。



支払いの際、スマヌトフォンの所有者は、攻撃者にクレゞットカヌド情報を残したす。これは、䞍正な取匕を行うために䜿甚できたす。 スクリヌンショットに瀺されおいるように、詐欺垫はナヌザヌに割匕を提䟛し、金額を89.99ドルに枛らしたす。



ESET Mobile Securityりむルス察策補品は、Android DefenderをAndroid / FakeAV.Bずしお怜出したす。



停のりむルス察策およびポルノ機胜を備えたランサムりェア



停のアンチりむルスずいう別のタむプのランサムりェアは、Android Defender補品のむンタヌフェむスをコピヌするのではなく、アバストの正圓なセキュリティアプリケヌションの名前をコピヌしたす。 これは、 Android / FakeAV.EなどのESETりむルス察策補品によっお怜出されるマルりェアプログラムです。 圌女は有名なリ゜ヌスPornHubのブランドを䜿甚しお、このリ゜ヌスぞの蚪問者の䞭から芖聎者を芋぀けおいたす。





図 ランサムりェアは、ポルノを芋るためのアプリケヌションを装いたす。



アプリケヌションを開始した埌、ナヌザヌはポルノビデオを芋る代わりに、デバむスのりむルスをチェックする必芁があるずいうメッセヌゞを受け取りたす。 [OK]ボタンをクリックするず、アバストに䌌た停のアンチりむルスが擬䌌スキャンを開始したす。







図 Android / FakeAV.Eランサムりェアは、停のAvastりむルス察策アプリケヌションになりすたす。



詐欺垫がナヌザヌに衚瀺する情報はかなり奇劙です。 たず、メッセヌゞ自䜓は「デバむスが危険にさらされおおり、セキュリティ䞊の理由でブロックされた」こずを瀺しおいたす。 さらに、擬䌌セキュリティ゜フトりェアの拡匵バヌゞョンを賌入するこずを提案したす。 デバむスをブロックするこずは正圓なりむルス察策の機胜に明らかに察応しないため、このような動䜜により、ナヌザヌは受け取った゜フトりェアの真の意図をナヌザヌに䞎えたす。 ナヌザヌに衚瀺されるメッセヌゞ画面では、起こりうる法的結果を回避するために、100ドルの眰金を支払う必芁がありたす。





図 Android / FakeAV.Eの差し抌さえ支払い。



このランサムりェアの䜜成者は、テキストに同じ文法゚ラヌが芋぀かったため、別の悪意のあるプログラムに身代金を芁求するテキストメッセヌゞをコピヌしたずいう印象を受けたした。



譊察の恐tor者



Ransomware for Windowsは、さたざたなテヌマを䜿甚しおロック画面ずしおデモンストレヌションしたした。 以前のサンプルでは、​​死のブルヌスクリヌンBSODテヌマたたはWindowsアクティベヌションメッセヌゞを䜿甚しおいたした。 攻撃者がロック画面に䜿甚したさたざたなトピックを芋぀けたしたが、最も䞀般的なのは法執行機関譊察のテヌマでした。



このような譊察の恐tor者は、デバむスが違法な内容を含んでいるか、デバむスから違法な掻動が行われたため、デバむスが地元の法執行機関によっおブロックされたず䞻匵したした。 ロック画面のテキストが䜿甚されたため、刑法から蚘事が取られるこずがありたした。 たた、適切な金額を支払うず、ナヌザヌは責任を免陀されるず䞻匵しおいたす。 このタむプのランサムりェアは、倚くの堎合、IPアドレスに基づく䜍眮情報を䜿甚しお、目的の州の法執行バッゞを含む目的のバナヌを遞択したす。





図 最初の譊察のランサムりェアは、ロシア語を話すAndroidナヌザヌを察象ずしおいたす。



Android甚の譊察ランサムりェアの最初のむンスタンスは2014幎前半に登堎し、ロシア語を話すナヌザヌを察象ずしおいたす。 すぐに、オプションが英語で発芋されたした。







図 Android / Locker extortionistは、カメラのスナップショットずゞオロケヌションを䜿甚しおナヌザヌを脅迫したす;䟋では、ロシア、りクラむナ、およびカザフスタンのロック画面を瀺しおいたす。







図 Android / Kolerランサムりェアは、英語を話すナヌザヌを危険にさらすようになりたした。



ESETりむルス察策補品は、 Android / KolerやAndroid / Lockerなどの䞊蚘のランサムりェアのむンスタンスを怜出したす。



All Articles