AndroidのランサムウェアであるSLockerが最近になり、非常に深刻な(そして下劣な)やり口でAndroid Lollipopの欠陥を悪用し始めた。しかしAndroid Marshmallowに対しては、SLockerはどのように事を運ぶのだろうか?

 手始めに、SLocker v.s. Lollipopを確認してみよう。

 マルバタイジングは一般に人(men)をおびき寄せて、「Porn Droid(ポルノドロイド)」と呼ばれるアプリをダウンロードさせる(まあ、たぶん男性(men)ばかりだが)。

Porn Droid app

 典型的には、よくありがちな過剰なパーミッションが要求される。

PornPro app permissions

 そしてソーシャルエンジニアリングに対する障壁は、良くても以下のようにほんのわずかだ。

PornPro permissions continued

 もし優れたセキュリティアプリをインストールしているのなら、以下のような画面を目にするだろう。

This app contains a virus

 しかしセキュリティアプリ無しにアプリを開いたのなら、次のプロンプトを受け取ることになる。

Disguised request for admin permissions
Update patch installation

 この「Continue」ボタンは?これは、デバイスの管理者権限の要求を分かりにくくしている(もちろん、非常に重大な欠陥だ)。そしてもし「Continue」をクリックしたとすると、SLockerは強奪に乗り出すために、入手したばかりの管理者権限を用いるだろう。

 以下はFBIをテーマにしたランサムウェアだ。

Slocker's FBI Warning

Slocker's FBI Warning

Slocker's FBI Warning

 一見したところでは、FBIが罰金(fine)ゆすりの支払いに「PayPal My Cash」を受け付けているようだ。

PayPal My Cash

 SLockerは被害者に恐れを抱かせようと、正面カメラで写真を撮る。

 以下の例では、Zimryの席の上の天井に向いている。

Slocker tries to take a picture.

 そして、おまけにPRISM(訳注:NSAの通信監視プログラム)のロゴが付いている。

FBI Mission: PRISM

 この時点で、Androidアプリが管理者権限を得ることが驚くほど簡単にみえることを言及すべきだろう。AppleのiOSでは、VPNのような基本項目を設定する際にはパスコードが要求される。しかしAndroidでは、管理者権限の要求に必要なのは単純な「はい」だけなのだ。

 コンピュータセキュリティのプラクティスとして最良のものは、インストールを限定する制限されたプロファイルの「ユーザ」として実行することだ。そして管理者権限を求めるアプリケーションは「管理者」プロファイルでインストールし、パスコードを要求する必要がある。そのため当社では、通常ユーザ用の制限付きプロファイルを構成しようとしたが、管理が難しいことがわかった。Androidの制限付きプロファイルはペアレンタルコントロールとタブレットのために設計され、またそれに焦点が合わせられている。当社のテスト用スマートフォンに追加のプロファイルを設定したが、我々が望むようなデバイス管理の類は実際には得られなかった。追加プロファイルを作成できるだけで、制限をかけることはできない。

 比較すると、AppleのiOSの機能制限は、iOSを主に使う人でさえはるかに役立つものだ。

 しかし、現在は…。

 Android MarshmallowはSLockerに対し、どのように事を運ぶのだろうか?

 良いニュースがある!SLockerの「Continue」を使った分かりにくさは、Marshmallowを実行しているスマートフォン上では失敗する。そして、管理者権限を与えることが何を引き起こすかについて表示されるだけだ。これはヒドい。全データの消去、スクリーンロックの変更、ストレージの暗号化をする権限だ。言い換えると、SLockerに管理者権限を与えたら…、おしまいだ。スマートフォンのデータがバックアップされていなければ、強奪者に屈する以外に取り戻す方法は無い。

Activate Device Administrator

 しかし次は悪いニュースだ。Android Marshmallowは10月5日リリースされたが、まだ普及していない。そのため、これからかなりの期間SLockerは攻撃を持続しそうだ。

 ハッシュ:

0f25cefa85a0822a08ad23caca24a622fbf4aef0
12dc90592c1945fe647d04902b2707e756e88037
25311dfbc4961a661494a2767d2fb74c532539cc
68e7879074b9e2635d895616d4862383fe5960db
84b541957d7e42b4b7d95763fb48d03fcca21ffd
c0784e974da5b7e82e9921763f957e1f3ec024e7

 

 Trojan:Android/Slocker.BJの分析はZimry Ongから提供を受けた。