概要:Androidデバイスを狙う新たな脅威「DroidLock」
zLabsの研究チームは、スペインのAndroidユーザーを標的とした新たな脅威「DroidLock」を特定しました。このマルウェアは、従来のファイルを暗号化するランサムウェアとは異なり、デバイスをロックするオーバーレイを表示し、身代金を要求しながら、侵害されたAndroidデバイスの完全な制御を維持します。
感染経路とその手口
DroidLockは主に、欺瞞的なアプリケーションをホストするフィッシングウェブサイトを通じて拡散します。一度インストールされると、マルウェアは2段階の感染プロセスを実行します。まず、ドロッパーがユーザーを騙して、実際の悪意のあるコードを含むセカンダリペイロードをインストールさせます。
このマルウェアは、アクセシビリティサービスとデバイス管理者権限を悪用して、デバイスのほぼ完全な制御を達成します。ソーシャルエンジニアリングが感染チェーンの鍵であり、ドロッパーは正規のアプリ(Orangeなどの人気サービスになりすますことが多い)として表示され、ユーザーにインストール許可を与えるよう促します。アクセス許可が与えられると、マルウェアはユーザーの操作なしに、SMSアクセス、通話履歴、連絡先、音声録音のための追加の権限を自動的に承認します。
DroidLockは、コマンド&コントロール(C2)インフラストラクチャと通信するために、WebSocketとHTTPの両方を使用します。この技術は、アクセシビリティサービスフレームワークを悪用することで、Androidの標準的なセキュリティ制限を回避します。
身代金要求とデバイス制御機能
C2サーバーから適切なコマンドを受信すると、DroidLockは脅迫的な身代金メッセージを表示するフルスクリーンWebViewオーバーレイを表示します。このオーバーレイは、被害者のデバイスIDを識別情報として、脅威アクターに電子メールで即座に連絡を取るよう要求します。特に、マルウェアは支払いが受領されない場合、24時間以内に完全なデータ破壊を行うと脅し、被害者に心理的な圧力をかけて支払いを促します。このマルウェアはファイルを暗号化しませんが、デバイスを完全にワイプする技術的な能力を有しており、その脅威は非常に現実的です。
DroidLockのコマンドセットは、その広範な侵害能力を明らかにしています。主な機能は以下の通りです。
- デバイス管理者権限を使用したデバイスロック
- PINおよび生体認証設定の変更
- 工場出荷時設定へのリセット
- VNC接続を介したデバイス画面へのリモートアクセス
- フロントカメラでの画像キャプチャ
- 音声のミュート
- 永続的な画面録画機能(Base64エンコードされたJPEG形式でリモートサーバーに流出)
さらに、DroidLockは2つの異なるオーバーレイ技術を通じて認証情報窃取メカニズムを実装しています。1つは偽のロックパターン画面を表示するもので、もう1つは正規の銀行および認証アプリケーションを模倣した、攻撃者によって制御されるHTMLコンテンツがロードされたWebViewオーバーレイを使用するものです。マルウェアはターゲットとなるアプリケーションのデータベースを保持し、被害者が特定のアプリを開くと動的に適切なオーバーレイを表示します。
企業への影響と対策
Zimperiumのセキュリティ研究者は、DroidLockが包括的なデバイス乗っ取り機能を持つ一方で、彼らのモバイル脅威防御プラットフォームが、ゼロデイ検出エンジンを通じて特定されたすべてのサンプルを検出していると指摘しています。
企業にとって、その影響は深刻です。感染したデバイスは、ワンタイムパスワードを傍受したり、セキュリティ認証情報を変更したり、企業所有のハンドセットを管理ネットワーク内の敵対的なエンドポイントに変える可能性があります。MITRE ATT&CKフレームワークは、初期のフィッシングベースのアクセスから認証情報のアクセス、情報収集、コマンド&コントロール、最終的な影響段階まで、DroidLockを複数の戦術にマッピングしており、モバイルに依存する組織にとってこの新たな脅威の洗練度を示しています。