CryptoLockerのAndroid版が登場?

2014年5月12日

「CryptoLocker」というたちの悪いランサムウェアについての記事を覚えているでしょうか。最近、Androidユーザーを狙う新種のランサムウェアが見つかりました。このランサムウェアは、「CryptoLocker」と、何らかの関係があると見られます。CryptoLockerは、感染先コンピューター内の重要なファイルを暗号化し、暗号解除と引き替えに金銭を要求するマルウェアです。Androidのマーケットシェアと、Androidデバイスを狙うマルウェアのサンプル数が大幅に増えている事実を考えあわせると、こうしたマルウェアの登場は驚くことではありません。

locker

「ランサムウェア」とは、感染先のコンピューターをロックし、ロック解除と引き替えに金銭(つまり、身代金=ランサム)を要求するタイプのマルウェアを指します。単にコンピューターを使えない状態にするだけのものもあれば、CryptoLockerのように重要なファイルを本当に暗号化してしまい、暗号解除用のプライベートキーと引き替えに金銭を要求するものもあります。CryptoLockerはかなり直裁に要求を提示しますが、他のランサムウェアの多くは、法的措置をにおわせる警告メッセージを出してきます。メッセージの内容は、だいたい「コンピューター内に違法なコンテンツを見つけた。コンピューターのロックを解除したければ罰金を支払え」というものです。

今回のケースでは、さまざまなタイプのランサムウェアに関わる犯罪者集団「Reveton」が宣伝する、Androidデバイスへの感染機能を持つCryptoLocker風のマルウェアが関わっているようです。

このランサムウェアが、デスクトップを標的とする悪名高いCryptoLockerとどの程度関わりがあるのか、不明です。しかし、CryptoLockerの成功をマーケティング的に利用しようとの意図は、明確です。

この新種を発見したのは、「Kafeine」のハンドル名で活動する著名なセキュリティリサーチャーで、自身のブログ(Malware don’t need Coffee)でこれを解説しています。ブログによると、シナリオはこうです。この種のマルウェアが感染しているドメインへAndroidデバイスを使ってアクセスすると、ポルノサイトへリダイレクトされる。このポルノサイトでは、ちょっとしたソーシャルエンジニアリングによって、マルウェア入りの.apkファイルをダウンロードさせてしまう。

ここにヒントがあります。このマルウェアに感染するには、自分自身でマルウェアをインストールする必要があるのです。そこで、アプリのインストールは正規のGoogle Playから行うように、改めてお勧めしたいと思います。

ブログの中で、Kafeineは述べています。「このマルウェアは、ある程度効く。ホーム画面へは行けるが、それ以外は機能しなくなるようだ。ブラウザーの起動、アプリの呼び出し、アクティブなタスクの一覧表示をしようとすると、マルウェアに戻ってしまう。」

感染に使われる.apkファイルは、ポルノアプリを装っています。このアプリを起動すると、ポルノ写真の閲覧または拡散のかどで告発する、との警告メッセージが表示されます。メッセージはさらに、300ドルをMoneyPak経由で支払わなければ5~11年の禁固刑に問われる可能性がある、と告げます。

Revetonが宣伝するこのマルウェアによる被害は、米国、英国、フランス、ドイツ、オーストラリア、スペインなど30か国以上で出ています。

このランサムウェアが、デスクトップを標的とする悪名高いCryptoLockerとどの程度関わりがあるのか、不明です。しかし、CryptoLockerの成功をマーケティング的に利用しようとの意図は、明確です。サイバー犯罪者が自らの利益拡大のために正規のビジネス手法を模倣する構図は興味深いものですが、これについてはまた別の機会に触れるとしましょう。