クライムウェアでは、Windowsベースの技術がAndroidへと着実に移行している。フィッシング、偽のアンチウィルス詐欺、バンキング型トロイの木馬のコンポーネントと見てきたが、今では…ランサムウェアだ。

 そう。Android用の「ポリス・ランサムウェア」である。当社がこれに付けた名前はKolerだ。

main screen

 クライムウェアのエコシステムは、日常的に接触していたAndroidシステムを長い間、注目していた。ランサムウェアが飛躍を遂げようとしているのを目にするのは、実際のところ大きな驚きというわけではない。

 以下に当該ランサムウェアがどのように動作するのかを示す。

 ブービートラップが仕掛けられた(ポルノ)サイトをAndroid端末で訪れると、セキュリティ侵害が発生する。続いてマルウェアは動画プレイヤーを装って、インストールを求める。これは「enable unknown sources(未知のソース)」の設定がどのように指定されているかに依存する。

 インストールが完了すると、Kolerは電話機の個人情報をリモートサーバへ送信する。この後、不法なポルノサイトにアクセスしたことで電話機がロックされた旨を伝えるWebページをサーバが返す。ロックを解除するために、罰金を支払うように言われる(身代金)。

 Kolerはファイルを暗号化すると主張するが、実際には何も暗号化されない。

 以下のドメインは、Kolerのリモートサーバとしてハードコーディングされている。

  •  mobile-policeblock.com
  •  police-guard-mobile.com
  •  police-mobile-stop.com
  •  police-scan-mobile.com
  •  police-secure-mobile.com
  •  police-strong-mobile.com

 現時点で、Kolerのサーバ群はオフラインだ。Googleのキャッシュで1台のサーバのみ(職場閲覧注意の)コンテンツが見つかるが、マルウェアは削除されている。これらのサーバは米国にホストされている(いた)。whoisでは、電話番号などデンマークおよびロシアのコンタクト情報が出てくる。

 現在のところ、ローカライズした各国のバージョンが30か国以上で見つかっている。コンテンツはWindows版の「ポリス・ランサムウェア」から移植されており、モバイルブラウザ用に整形されている。

 Kolerを削除するには:

 このランサムウェアは戻るボタンを無効にしているが、ホームスクリーンボタンは有効だ。ユーザはたった数秒で、電話機の設定を削除したり、出荷時の設定に復旧したりできる。

 別の選択肢は、サービスメニューに戻り、そこからKolerを削除する方法だ。

 Kolerはまた、adb.exe経由でデバイスへアクセスするのを阻害する。シェルは起動できるが、ファイルの閲覧は許可されていない。

 詳細については、当社のTrojan:Android/Kolerの説明から得られる。

 Analysis by — Mikko Hyykoski