DroidLockマルウェアの概要
新たに発見されたAndroidマルウェア「DroidLock」が、感染したデバイスの画面をロックし、身代金を要求する脅威として浮上しています。このマルウェアは、テキストメッセージ、通話履歴、連絡先、音声録音へのアクセスに加え、データ消去まで実行可能です。
モバイルセキュリティ企業Zimperiumの研究者によると、DroidLockはVNC共有システムを介してデバイスを完全に制御し、画面にオーバーレイを配置することでデバイスのロックパターンを窃取することができます。
感染経路と権限要求
Zimperiumの報告によれば、このマルウェアは主にスペイン語圏のユーザーを標的としており、正当なアプリケーションを装った悪意のあるウェブサイトを通じて配布されています。感染は、ユーザーを欺いて実際のマルウェアを含むセカンダリペイロードをインストールさせる「ドロッパー」から始まります。
悪意のあるアプリは、更新要求を通じて主要なペイロードを導入し、その後、不正な活動を実行するために必要な「デバイス管理者権限」と「アクセシビリティサービス権限」を要求します。これにより、デバイスのワイプ、ロック、PIN/パスワード/生体認証データの変更など、ユーザーがデバイスにアクセスできないようにする行動が可能になります。
DroidLockのコマンドとランサムウェアの挙動
Zimperiumの分析では、DroidLockが以下の15種類のコマンドをサポートしていることが判明しました。
- 通知送信
- 画面へのオーバーレイ表示
- デバイスのミュート
- 工場出荷時設定へのリセット
- カメラ起動
- アプリのアンインストール
ランサムウェアのオーバーレイは、対応するコマンド受信後すぐにWebViewを介して表示され、被害者に対し、指定されたProtonメールアドレスに連絡するよう指示します。攻撃者は、24時間以内に身代金が支払われない場合、ファイルを永久に破壊すると脅迫します。
Zimperiumは、DroidLockがファイルを暗号化するわけではないものの、身代金を支払わなければファイルを破壊すると脅迫することで、実質的に同じ目的を達成していると説明しています。さらに、ロックコードを変更することで、デバイスへのアクセスを拒否することも可能です。
ロックパターンの窃取とZimperiumの対応
DroidLockは、悪意のあるAPKのアセットからロードされる別のオーバーレイを通じて、ロックパターンを窃取できます。ユーザーがクローンされたインターフェース上でパターンを描くと、その情報が直接攻撃者に送信されます。この機能の目的は、アイドル時にVNCを介してデバイスへのリモートアクセスを可能にすることです。
GoogleのApp Defense AllianceのメンバーであるZimperiumは、Androidセキュリティチームとマルウェアの発見情報を共有しており、これによりPlay Protectが最新のデバイスでこの脅威を検出・ブロックしています。
Androidユーザーへのアドバイス
Androidユーザーは、以下の点に注意することが推奨されます。
- Google Playストア以外からのAPKのサイドロードを避ける(信頼できる発行元の場合を除く)。
- アプリが要求する権限がその目的に合致しているか、常に確認する。
- 定期的にデバイスをPlay Protectでスキャンする。