2017年11月10日

LokiBot:盗めなければ脅し取るマルウェア

脅威

ギリシャ神話に出てくるヒドラをご存知ですか?たくさんの頭を持つヘビで、頭を1つ切り落とすと、そこから2つ生えてくるという怪物です。これに似た危険なAndroidマルウェアが出現しました(英語記事)。

バンキング型トロイの木馬としてのLokiBot

普通のバンキング型トロイの木馬がどのように振る舞うか、おさらいしましょう。まず、モバイルバンキングのインターフェイスをまねた偽の画面を表示します。利用者が気付かずにログイン認証情報を入力すると、この情報は攻撃者にリダイレクトされ、攻撃者はこの人のアカウントにアクセスできるようになります。

では、LokiBotの振る舞いをみてみましょう。大まかには同じですが、オンラインバンキングのアプリだけでなく、WhatsAppやSkype、Outlookクライアントのインターフェイスも偽装して、これらのアプリのものと見せかけた通知を表示します。

利用者からすると、自分の口座に送金があった旨を知らせる、取引銀行から来たらしい通知が届いたように見えるので、内容を確認しようとアプリにログインします。さらに芸が細かいことに、LokiBotは送金通知を表示するときにスマートフォンを振動させるので、サイバーセキュリティの知識がある人でもだまされてしまいます。

LokiBotの機能はこれだけではありません。ブラウザーを開いたり、特定のページに移動したりできるほか、感染したデバイスを使ってスパムメールを送信することもできるのです(基本的にこれがLokiBotの拡散手段です)。口座からお金を盗んだ後も、LokiBotは活動を継続します。できるだけ多くのスマートフォンやタブレットに感染するため、電話帳にあるすべての連絡先に悪意あるSMSを送信し、必要であれば受信メッセージに返信したりもします。

LokiBotを除去しようとすると、別の顔が現れます。銀行口座からお金を盗み出すには管理者権限が必要ですが、アプリの利用者が管理者権限の付与を拒むと、LokiBotはバンキング型トロイの木馬からランサムウェアへと変貌します。

ランサムウェアとしてのLokiBot:感染したスマートフォンのロックを解除するには

ランサムウェアとなったLokiBotは画面をロックし、児童ポルノを見たので画面をロックしたとして身代金を要求するメッセージを表示し、デバイス内のデータを暗号化します。しかし、LokiBotのコードを解析した調査チームは、暗号化が貧弱で適切に動作しないことを発見しました。暗号化された全ファイルのコピーが、暗号化されていない状態で(ファイル名は変更されていますが)デバイス内に残ります。そのため、比較的簡単にファイルを元に戻すことができます。

しかし、デバイスの画面はロックされたままです。ロック解除と引き換えに約100ドル相当のBitcoinが要求されますが、従う必要はありません。デバイスをセーフモードで再起動し、マルウェアの管理者権限を剥奪して、マルウェアに感染したアプリを削除することができます(英語記事)。そのためには、まず、使用しているAndroidのバージョンを確かめる必要があります。

  • [設定]を選択します。
  • [一般設定]タブを選択します。
  • [端末情報]を選択します。
  • 項目名[Androidバージョン]の下に書かれた数字がOSのバージョンです

ここでは、バージョン4.4~7.1のデバイスでセーフモードを有効化する手順を説明します。

  • メニューに[電源を切る]または[電源OFFが表示されるまで、電源ボタンを押したままにします。
  • [電源を切る]または[電源OFFを押したままにします。
  • [再起動してセーフモードに変更]が表示されたら、OKをクリックします。
  • デバイスが再起動されるまで待ちます。

残念ながら、皆がこの駆除方法を知っているわけではありません。LokiBotの被害者たちからは、すでに約150万ドル(英語記事)相当が奪われたと見られています。闇市場ではわずか2,000ドルでLokiBotが売られていることを踏まえると、このマルウェアを操る犯罪者たちは、すでに投資分をはるかに超える額を回収済みだと考えられます。

LokiBotから身を守るには

モバイルマルウェアに感染しないための注意事項は、LokiBotの場合にもあてはまります。

– 不審なリンクは絶対にクリックしないこと。LokiBotは、不正なリンクを通じて拡散します。

– アプリのダウンロードには必ずGoogle Playを使うこと。ただし、公式ストアであっても不正なアプリが紛れ込んでいる場合があり、十分な注意が必要です。

– スマートフォンやタブレットには、信頼できるセキュリティ製品をインストールすること。カスペルスキー インターネット セキュリティ for Android(無料、アプリ内課金あり)は、LokiBotのすべての亜種を検知します。有料版の場合は、新しいアプリをインストールするたびにスマートフォンをスキャンする必要はありません。