【Dr.WEB】Androidのメモリカードデータを消去し通信をブロックする「荒らし」トロイの木馬

ホームコンピューターが台頭し始めた頃、悪意のあるプログラムの多くは実益を得るためではなく楽しむことを目的としたものでしたが、次第に利益の追求を目的とした設計へと変化を遂げてきました。現在では、マルウェアのほとんど全てが利益を得る目的で開発され、他の目的を持ったものは滅多に見られません。しかし、今回Doctor Webによって発見されたプログラムはそのような珍しいものでした。WindowsではなくAndroidスマートフォンやタブレットを標的とするこのプログラムはメモリカード上のデータを削除し、ポピュラーなメッセンジャープログラムのウィンドウをブロック、受信したSMSメッセージを読むことを不可能にすることから、ユーザーに対して大きな危害を与える脅威であると言えます。

Android.Elite.1.originという名前でDr.Webウイルスデータベースに追加されたこの新たなAndroidトロイの木馬は、所謂「荒らし」プログラムと呼ばれる珍しいカテゴリに属すものでした。通常、この種の悪意のあるアプリケーションは利益を得るためではなく、犯罪者がプログラミングスキルを披露したり、ある特定の事柄に関する意見を表明したりするため、または単純に悪戯を楽しむことや荒らし行為を目的に設計されています。また、通常これらのプログラムは様々なメッセージを表示させ、ファイルを破損させたり、感染したシステムの正常な動作を妨げたりします。今回発見されたAndroidトロイの木馬も正にそのような機能を備えたものでした。このトロイの木馬はゲームなどのポピュラーなアプリケーションを装って拡散されています。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=787&lng=ja&c=2

【Dr.WEB】Android.Locker.2.originランサムウェアに暗号化されたファイルを復元する無償のDr.Webユーティリティ

Doctor WebはAndroid.Locker.2.originランサムウェアによって暗号化されてしまったファイルを復号化するための無償のDr.Webユーティリティをリリースしました。このマルウェアはAndroidデバイスを感染させるとメモリカード上に保存された写真やドキュメント、動画、その他のファイルを暗号化し、デバイスの画面をロックして解除するために金銭を要求します。Dr.Web for Androidをご利用のユーザーは、Doctor Webテクニカルサポートまでご連絡の上、この脅威に対抗するためのユーティリティをリクエストすることが可能になりました。

5月に発見されて以来、Android.Locker.2.originはユーザーのデータを危険に晒してきました。感染したデバイス上で起動されると、このランサムウェアはメモリカード内で.jpeg、 .jpg、 .png、 .bmp、 .gif、 .pdf、 .doc、 .docx、 .txt、 .avi、 .mkv、 .3gp拡張子を持つファイルを探し、それらを暗号化してファイル名に.enc拡張子を加えます。次にデバイスの画面をロックし、解除するための金銭を要求するメッセージを表示させます。メッセージには、ユーザーによってアダルトコンテンツが配信されている旨が記載され、また、脅迫の効果を高めるために、デバイスのカメラで撮影されたユーザーの写真も加えられています。

この脅威に対する詳細な解析を行った結果、Doctor Webでは暗号化されてしまったファイルを高確率で復号化する特別なユーティリティを開発することに成功しました。これにより、ユーザーは犯罪者に対して金銭を支払う必要はなくなりました。

このユーティリティはメモリカード内で暗号化されたファイルを探し、そのうちの1つに対して復号化を試みます。成功した場合、暗号化された残りのファイルに対しても復号化を開始しますが、その前にそれらのファイルのバックアップをメモリカード上に作成したDrWebTempフォルダ内に保存します。復号化されたファイルは.enc拡張子無しで元のフォルダ内に置かれます。データの損失を防ぐため、ファイルのバックアップが保存されたDrWebTempフォルダは復号化が完了した後も削除されずに残ります。

お使いのデバイスがAndroid.Locker.2.originに感染してしまった場合、次の手順に従ってください。

  • 暗号化されてしまったファイルをご自身で復元しようとしないこと。
  • Doctor Webテクニカルサポートに連絡する(ファイルを送信する際に「修復依頼」を選択してください。このサービスを無料でご利用いただけます。)
  • トロイの木馬によって暗号化されたファイルをリクエストに添付する。
  • ウイルスアナリストからの返答をお待ちください。


この復号化サービスをご利用いただけるのは、テクニカルサポートサービスを含んだDr.Web for Android、Dr.Web Security Space、Dr.Web Anti-virusのいずれかの有償版ライセンスをご購入いただいたユーザーのみになります。

Android.Locker.2.originやAndroidを狙ったその他の脅威からお使いのモバイルデバイスを保護するため、最新のセキュリティ機能を搭載したDr.Web for Androidを是非ご購入ください。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=783&lng=ja&c=2

【Dr.WEB】感染させたAndroidデバイス上でロック解除パスワードを設定する新たなランサムウェア

Androidを標的とするランサムウェアの増加傾向から、現在この方法は不正な利益を得るための手段として犯罪者の注目を集めていることが分かります。この種のプログラムのほとんどは、起動されると感染したデバイスをロックし、解除するために金銭を要求するという共通した動作が特徴です。しかしながら、今回Doctor Webによって発見された脅迫型トロイの木馬はデバイスをロックした上で金銭を要求するほか、OSの標準機能をアクティベートすることによってスクリーンのロック解除パスワードを設定する機能をも備えていました。さらに、このマルウェアはSMSを送信することができ、被害者に金銭的損害を与える可能性があります。

Android.Locker.38.originとしてDr.Webウイルスデータベースに追加されたこのマルウェアは、デバイスをロックした上でそれらを解除するための金銭を要求する、既に広く拡散されているランサムウェアファミリーに属するものでした。この脅迫型トロイの木馬はシステムアップデートを装って拡散され、起動されるとデバイスの管理者機能へのアクセス権を要求します。続けて、アップデートのインストールプロセスを模倣し、自身のアイコンをホームスクリーンから削除して感染が完了したことをリモートサーバーに報告し、その後の指示を待ちます。

デバイスをロックするためのコマンドはwebサーバーからのJSON要求として、またはset_lockコマンドを含んだSMS経由で送られます。Android.Lockerファミリーに属するその他のランサムウェア同様、Android.Locker.38.originもまたデバイスのスクリーンをロックし、金銭を要求するメッセージを表示させます。多くの場合、このメッセージは閉じることができません。

例えユーザーが管理者権限を剥奪することでAndroid.Locker.38.originを削除しようと試みた場合であっても、このトロイの木馬はさらに別の方法でロックを実行する機能を備えています。このことが、その他の同種の脅威からAndroid.Locker.38.originを際立たせる特徴となっています。

このトロイの木馬はOSの標準機能を使用してスクリーンをブロックし、デバイスをスタンバイモードにします。スクリーンのロックが解除されると、デバイスのメモリ内に保存されているデータが全て削除されることを示す偽の警告が表示されます。

選択されたアクションが確定されると、ランサムウェアは再度ロック画面を表示させ、ユーザーがスタンバイモードをトグルオフしようと試みた際にパスワード入力を要求する機能をアクティベートさせます。パスワードは常に「12345」の数字から成る組み合わせで設定されています。そのため、犯罪者が要求した金額を手に入れるまで(ロックはset_unlockコマンドによって解除されます)、またはユーザーがデバイスの設定をすべてデフォルトにリセットするまでスマートフォンやタブレットのロックが解除されることはありません。

また、デバイスをロックするほか、Android.Locker.38.originはSMSボットとしても動作することができます。犯罪者のコマンドに従って様々なメッセージを送信することで、ユーザーにさらなる金銭的被害を与える可能性があります。

Dr.Web Anti-virus for Androidによって保護されているデバイスは、この悪意のあるプログラムによる危害を受けることはありません。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=777&lng=ja&c=2

【Dr.WEB】Androidユーザーを狙う新たなランサムウェア

トロイの木馬ブロッカーは、その出現頻度および種類の増加と共にAndroidデバイスユーザーにとって深刻な脅威となりつつあります。これらのマルウェアは感染させたモバイルデバイスやタブレットをロック、ファイルを暗号化し、解除するために数百ドルの金銭を要求します。しかし、今回Doctor Webによって発見されたランサムウェアは、実際に金銭の支払いが行われたかどうかを確認せずにロックを解除するという一風変わった特徴を備えていました。

Android.Locker.27.originとしてDr.Webウイルスデータベースに追加された新たなトロイの木馬は、アンチウイルスソフトウェアを装って拡散されています。起動されるとウイルススキャンの進捗状況を画面上に表示させ、悪意のあるプログラムが検出されたという警告を出します。

その後、このマルウェアは管理者権限を要求し、ユーザーの操作に関係なくデバイスをロックします。画面には、違法な行為が検出された旨の警告が表示されます。

デバイスのロックを解除し、違反を取り下げるために、ユーザーはGreenDot MoneyPakに500ドルをチャージし、カード番号を犯罪者に提供するよう促されます。

しかし、その他の同種のマルウェアと異なり、Android.Locker.27.originは支払いの確認を行わないという弱点を持っています。このトロイの木馬は入力されたコードが14桁であり、「00000」「11111」から「99999」や「12345」などの予測しやすい組み合わせでないことのみを確認します。それらの基準を満たしたコードは犯罪者のサーバーへ送信され、Android.Locker.27.originはデバイスロックを解除し、自身を削除します。そのため、ユーザーはあらゆる組み合わせの14桁コードを入力することで、この脅威を簡単に削除することができます。

この無害なトロイの木馬とは異なり、そのほか多くのマルウェアはAndroidデバイスに対して深刻な危害を加えます。信頼性の高いアンチウイルスソフトウェアを使用してデバイスを保護することが推奨されます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=763&lng=ja&c=2

McAfee、"Fake ID"脆弱性を悪用するアプリを検出するツールを無償公開

米McAfeeは、Android OSに最近発見された"Fake ID"と呼ばれる脆弱性について、脆弱性を悪用するアプリを検出するツール「Fake ID Detector」を公開した。

 Fake ID脆弱性は、セキュリティ企業の米Blueboxが7月29日に報告した、不正アプリが正規アプリになりすますことができるAndroidの脆弱性。個々のアプリは固有の識別情報(電子証明書)を持っているが、攻撃者は別のアプリの電子証明書をコピーし、新しいアプリの電子証明書と組み合わせて証明書チェーンを作成することで、正規アプリのふりをすることが可能になる。

 Fake ID脆弱性は、Android 2.1からAndroid 4.3までの広い範囲に影響があり、脆弱性が悪用された場合には、端末からデータが漏えいしたり、悪意ある行為が行われたりする可能性がある。

 McAfeeでは、Fake ID脆弱性を悪用するアプリを検出するアプリ「Fake ID Detector」を無料で公開した。

 McAfeeではFake ID脆弱性への対策として、Android端末を最新OSのバージョン4.4.4に更新することを挙げているが、これは端末メーカーや通信キャリアの対応に依存する。このため、OSを最新バージョンに更新できない場合には、Fake ID Detectorを利用してほしいとしている。

 また、アプリは信頼できる場所からのみインストールすることが重要であり、Googleは既にこの脆弱性攻撃をアプリが含むかどうかを、アプリ公開前にチェックする仕組みを用意していると説明。信頼できないアプリストア、特にメールやSMSメッセージなどのリンクからアプリをインストールすることは避けるよう、注意を促している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140819_662675.html

Android版「Outlook.com」アプリに脆弱性、中間者攻撃による盗聴の可能性

独立行政法人情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は30日、「Outlook.com」のAndroid版アプリにSSLサーバー証明書の検証不備の脆弱性が存在することを公表した。ユーザーに対しては、最新版へのアップデートを呼び掛けている。

脆弱性が存在するのは、Outlook.comのAndroid版アプリの7.8.2.12.49.7090より前のバージョン。該当バージョンのアプリには、ウェブサーバーから不正なSSLサーバー証明書が送信された場合でも、警告を出さずに接続してしまうという検証不備の脆弱性が存在する。この脆弱性が悪用されることで、中間者攻撃による暗号通信の盗聴などが行われる可能性がある。

対策方法としては、既に脆弱性を修正したバージョンのアプリが公開されているため、最新バージョンへのアップデートが推奨されている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140730_660252.html

【Dr.WEB】Androidデバイスからクレジットカード情報を盗む危険なトロイの木馬

Doctor Webは、Google Play上で使用されるクレジットカードの情報を盗む新たなトロイの木馬について、Androidユーザーの皆様に警告します。このマルウェアはFlash Playerを装って拡散され、バンクアカウントの情報を入力するようユーザーを誘導します。その結果、犯罪者はそのアカウントから金銭を盗むことが可能になります。

Android.BankBot.21.originとしてDr.Webウイルスデータベースに追加されたこのマルウェアはAdobe Flash Playerを装って拡散され、クレジットカード情報を盗むほかSMSメッセージを傍受します。

インストールされた後に起動されると、このトロイの木馬は管理者権限の取得を試みます。該当する要求画面が0.1秒ごとに表示され、ユーザーはそれらを止めるために権限を与えざるを得なくなります。こうして、このマルウェアは削除される危険性から自身を保護します。

クレジットカード情報を盗むために、Android.BankBot.21.originはGoogle Playアプリケーションウィンドウがアクティブであるかどうかを確認し、アクティブだった場合は、標準的なクレジットカード情報の入力フォームを表示させます。

入力されたカード番号、有効期限、CVCコード、カード所有者の住所や電話番号などは全て犯罪者のサーバーへ送信されます。さらに、デバイスモデル、IMEI、OSバージョン、インストールされているアプリケーションのリスト、SMSのコンテンツなどの、感染したデバイスに関する情報もまた、犯罪者のサーバーへ送られます。

そのほか、vは犯罪者のサーバーから直接、またはSMS経由で受け取った様々なコマンドを実行する機能を備えています。中でも特に受信SMSを傍受し、特定の番号に対してメッセージを送信することができます。

このマルウェアはユーザーのアカウントから金銭を盗む目的で使用される可能性が高いことから、Androidユーザーは十分に注意し、疑わしいアプリケーションはインストールしないことが推奨されます。

この脅威はDr.Web for Androidによって検出・駆除されます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=756&lng=ja&c=2

【Dr.WEB】Androidを狙ったSMSボットが急増

Doctor Webでは、Dr.Web for Androidによってモバイルデバイス上で検出された脅威について監視と分析を続けています。これまで長い間、様々なトロイの木馬を含むその他の脅威を遥かに引き離す形で、広告モジュールの組み込まれたアプリケーションがモバイルデバイス上で最も多く検出される脅威としての座を占めていました。しかし、ここ最近の統計により、Android.SMSBotプログラムの拡散が急激に増加していることが明らかになりました。その検出数は5月末から227%増加し、6月の合計は67万件を超えています。

Dr.Web for Androidによって収集されたデータによると、5月には23万5,516件のAndroid. SmsBot.120.originが検出され、最も多く検出された脅威として躍り出ています。このマルウェアは6月を通して検出数を伸ばし続け、同月末には5月に比べて227%増加した67万422件が記録されています。その結果、6月に最も多く検出された脅威もまた、全体の11%を占める形でAndroid. SmsBot.120.originとなっています。

このトロイの木馬は、犯罪者からコマンドを受け取り、悪意のある様々な動作を実行する典型的なマルウェアの1つです。中でも特に、Android. SmsBot.120.originはSMSを送信・傍受・削除、ブラウザ内に特定のwebページを表示、デバイスの位置情報を取得、特定のアプリケーションを削除することができます。

多くの場合、このトロイの木馬はアダルト動画を装って拡散されていますが、音声ファイルなどの正規アプリケーションとして拡散される場合もあり、疑わしいコンテンツをダウンロードする際には十分な注意が必要です。Dr.Web for Androidの動作しているデバイスは、この脅威から保護されています。

Doctor Webでは今後もAndroid. SmsBot.120.originの監視を続けていきます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=751&lng=ja&c=2

【Dr.WEB】Google Playからのダウンロード件数が100万件を超える危険なアプリケーション

Google Playのセキュリティを強固なものにしようというGoogleの努力にも関わらず、マルウェアや潜在的に危険なアプリケーションの出現は後を絶ちません。最近では、SMSを勝手に送信し、他のアプリケーションをダウンロード・インストールするなどの動作を実行するプログラムがDoctor Webのセキュリティリサーチャーによって発見されています。このプログラムのダウンロード件数は100万件を超えており、ここ最近で起こった拡散のうち最も大規模なものの1つとなっています。

このプログラムはデバイスの設定を変更したり、機能の一部へのアクセスを容易にしたりするためのオプティマイザです。中でも特に、アプリケーションマネージャとして動作し(プログラムをインストール・アンインストールする、バックアップを作成するなど)、メモリをクリアしたり、インターネットトラフィックを監視したりすることができます。

これらの機能に加え、このプログラムはユーザーに気づかれずに不正なアプリケーションをダウンロードしたり、高額な課金SMSを送信したりといった動作を実行することが可能です。それらの動作の実行には複数の疑わしいサービスが使用され、それらのサービスはプログラムが実行されると同時に起動します。そのうちの1つはリモートサーバーとの通信に使用され、デバイスに関する情報(IMEIおよびIMSI)を送信し、以下のコマンドを受け取ります。

  • ダウンロードするアプリケーションのリスト
  • SMSメッセージのテキストや送信先番号
  • 傍受する受信メッセージのリスト(送信者の番号とSMSテキスト)


また別のサービスはアプリケーションのインストールに使用されます。このサービスはpm installコマンドを使用し、作成されたapkファイルのリストに基づいてプログラムを密かにダウンロード・インストールします。この動作はルートアクセスを持ったデバイス上でのみ可能となっています。必要な権限を持っていない場合、インストールは通常のモードで行われ、ユーザーの確認を必要とします。

バックグラウンドでのインストール機能は、アプリケーションを1つのモバイルデバイス上から別のモバイルデバイス上へ移す場合などの使用を正規の目的としていますが、同時に、ユーザーの許可なしにプログラムをインストールするために悪用されることがあります。SMSの自動送信に関しては、この機能は直接コントロールセンターからのコマンドによって実行され、ユーザーがコントロールすることはできません。このような危険な機能を持つことから、Doctor Webではこのユーティリティを悪意のあるプログラムであると判断し、 Android.Backdoor.81.originとしてウイルスデータベースに追加しました。

Google Play上で発見された時点で、このプログラムのダウンロード件数は既に100万件を超え、多くのユーザーが高額な課金SMSを勝手に送信されてしまうという被害に遭っていました。5月26日の時点で、このプログラムは未だGoogle Playからダウンロードすることが可能な状態となっています。

悪意のある危険なプログラムによる被害を受けないようにするため、アプリケーションをダウンロードする際には必要とされる権限を確認し、Android向けの最新のアンチウイルスを使用することを推奨します。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=740&lng=ja&c=2

【Dr.WEB】2014年3月のモバイル脅威

Doctor Webでは、Dr.Web for Androidによって検出された脅威に関するデータの収集を続けています。2014年3月には786万6900件の、望まないプログラムや悪意のあるプログラムが検出されました。

2014年3月に検出された望まないプログラムや悪意のあるプログラムの数では、13日に最も多い33万4212件が、11日に最も少ない24万4478件が記録され、1日の平均はおよそ25万件となっています。

Dr.Web for Androidによって多く検出された脅威の中には、無料のAndroidアプリを利用して利益を得るアドウェアであるAdware.Revmob、Adware.Airpush、Adware.Leadboltファミリーが含まれていました。最も多く検出されたプログラムは高額な有料SMSを勝手に送信するAndroid.SmsBot.42.originで、同様の機能を持つAndroid.SmsSend.1088.originが続いています。以下の表は、3月にDr.Web Anti-virus for Androidによってモバイルデバイス上で最も多く検出された脅威です。

1 - Android.SmsBot.42.origin
2 - Android.SmsSend.1088.origin, Android.SmsSend.458
3 - Android.SmsSend.315.origin
4 - Android.SmsSend.1123.origin
5 - Android.SmsSend.859.origin
6 - Android.Spy.83.origin
7 - Android.SmsBot.45.origin
8 - Android.SmsSend.466.origin
9 - Android.SmsSend.939.origin
10 - Android.SmsSend.758.origin

Dr.Web for Androidには、ハッカーや悪意のあるソフトウェアによって悪用される危険性のあるOSの脆弱性を検出するためのコンポーネントSecurity Auditorが備わっています。Dr.Webによって検出された脆弱性の1つに「マスターキー」と呼ばれる脆弱性があります。

この脆弱性は、同じ名前を持つ2つのファイルを含んだパッケージからデジタル署名の無いアプリケーションのインストールを許可してしまうというAndroidセキュリティルーチンの欠陥です。

また、改変したapkパッケージ内にトロイの木馬の実行ファイルを忍ばせ、インストールの際に自動認証をすり抜けることを可能にしてしまう2つの脆弱性、Extra FieldおよびName Length Fieldも検出されています。OSは悪意のあるアプリケーションの侵入を許してしまうこのような危険性を脅威として検出することができません。

2014年3月31日の時点で、Name Length FieldはDr.Webによって保護されるデバイスの80.19%で検出されており、Extra Fieldは48.56%、マスターキーは46.95%となっています(1台のデバイス上で複数の脆弱性が検出されるケースも見られます)。以下の円グラフは、脆弱性の検出されたデバイスのAndroid OSバージョンごとの割合です。

脆弱性はAndroid 4.1.2および4.0.4で最も多く検出されています。バージョン4.1.2はユーザーに最も人気のあるバージョン(Dr.Webユーザーの27.16%が使用)ですが、バージョン4.0.4はAndroid 2.3.3~2.3.7に次いで3番目に人気のあるバージョン(Dr.Webユーザーの21.14%が使用)となっています。

Doctor Webの収集した統計によると、脆弱性を含んだAndroidファームウェアは韓国の有名なメーカーのモバイルデバイスに最も多く組み込まれており、中国のメーカーのモバイルデバイスおよびタブレットが次いで多くなっています。3番目には台湾のメーカーが、4番目にはまた別の韓国のメーカーが続いています。

そのほか、セキュリティルールを無視したユーザーの操作がデバイスの感染を招いてしまうケースもあります。Doctor Webの統計によると、ユーザーの49.74%が「提供元不明アプリのインストール」設定を有効にしています。また、14.8%のユーザーが「USBデバッグ」モードを有効にしており、その結果として、デバイス上に保存されたデータの漏えいを招く危険性が生じています。

Dr.Webユーザーの3.89%が、ルート化によって感染リスクの高まったデバイスを使用しており、13.3%のデバイスでサードパーティ製のAndroidファームウェアが使用されています。これらのファームウェアの多くは中国の複数のメーカーによって提供されており、マルウェア感染のリスクを増大させますが、ユーザーはそのようなリスクに気が付ついてすらいないケースが多く見られます。

Doctor Webでは今後も統計の監視を続け、脅威およびセキュリティに関する最新の情報をユーザーの皆様にお届けします。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=725&lng=ja&c=2