Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

今季のトレンド―Androidを標的とするブロッカーとエンコーダ

2014年6月27日

株式会社Doctor Web Pacific


2011年、Doctor Webでは既にAndroidを狙ったランサムウェアの出現を予見していましたが、3年後の現在、その予測は現実のものとなりました。2014年5月22日、Androidを標的とした初のエンコーダがDr.Web for Androidによって検出され、6月の中旬には、Androidユーザーを狙った幅広い種類のランサムウェアが出現するようになりました。

Android.Locker.2.origin は、この種の脅威として最初に検出されました。2014年5月22日にDr.Webウイルスデータベースに追加されて以来、Dr.Web for Androidによって検出された数は2万1276件を超えています。Android.Locker.2.origin はアンチウイルスソフトウェアによって保護されていないAndroidスマートフォンやタブレットに対して深刻な被害を与えます。このトロイの木馬は感染したモバイルデバイスのメモリカード内で.jpeg、 .jpg、 .png、 .bmp、 .gif、 .pdf、 .doc、 .docx、 .txt、 .avi、 .mkv、 .3gp拡張子を持ったファイルを探し、それらを暗号化した上でファイル名に.enc拡張子を加えます。続けてデバイスのスクリーンがロックされ、ファイルを復号化するために金銭を要求するメッセージが表示されます。

このトロイの木馬はメモリカード上に保存されている写真や動画、ドキュメントを暗号化することができ、感染させたデバイスに関する様々な情報(IMEIなど)を犯罪者のサーバーに送信します。このエンコーダは暗号化にAES暗号アルゴリズムを用い、Torネットワーク経由で.onionホストを使用したC&Cサーバーに接続します。これにより、犯罪者は高い匿名性を確保しています。

Android.Locker.5.originは、その他の同種のプログラムと異なり中国のユーザーのみを標的としています。このトロイの木馬は不正な利益を得ることを目的としたものではなく、不注意なユーザーを嘲笑するために作成されたものであると思われます。 Android.Locker.5.originは起動されるとモバイルデバイスをロックし、下図のようなメッセージを表示させます。

このメッセージには、このアプリケーションはモバイルデバイスを「ちょっと休ませて」あげるためにブロックした、と書かれています。ウィンドウの下部には24時間のカウントダウンタイマーが表示され、時間が経過するとモバイルデバイスは自動的にロック解除されます。

Android.Locker.5.originは、プロセスのステータスをチェックするAndroidのシステム機能を利用し、中断された場合には自動的にプロセスを再開します。また、デバイス上での他のアプリケーションの起動を防ぐことができ、そのことがAndroid.Locker.5.originの削除を困難にしています。それらを除き、このトロイの木馬はファイルを暗号化するなどの危険な機能は持っていません。

6月には、Android を狙ったランサムウェアのファミリーに米国のユーザーを標的とするAndroid.Locker.6.originおよび Android.Locker.7.originが加わりました。モバイルデバイスのスクリーンをロックして金銭を要求するこれらの脅威はAdobe Flash Playerを装って拡散され、インストール中に管理者権限を要求します。

screen screen screen

このトロイの木馬はデバイスをスキャンするふりをしたのちにスクリーンをブロックし、違法なコンテンツが検出された旨のメッセージを表示させます。

screen screen

デバイスのロックを解除するために、ユーザーはMoneyPack経由での200ドルの支払いを要求されます。

screen screen

インストールの過程で、Android.Locker.6.originおよび Android.Locker.7.originはデバイス上に以下のアプリケーションがインストールされているかどうかを確認します。

  • com.usaa.mobile.android.usaa
  • com.citi.citimobile
  • com.americanexpress.android.acctsvcs.us
  • com.wf.wellsfargomobile
  • com.tablet.bofa
  • com.infonow.bofa
  • com.tdbank
  • com.chase.sig.android
  • com.bbt.androidapp.activity
  • com.regions.mobbanking

上記いずれかのアプリケーションが存在した場合、そのデータが犯罪者のサーバーに送信されます。また、これらの脅威は感染させたデバイスのアドレス帳から情報を盗み(連絡先の名前、電話番号、メールアドレス)、発信および着信通話をモニタリングしてそれらをブロックする機能を備えています。収集された情報はすべてC&Cサーバーへ送信されます。

Dr.Web for Androidによって保護されたデバイスでは、侵入を試みるAndroid.Locker.2.originAndroid.Locker.5.originAndroid.Locker.6 .origin Android.Locker.7.origin, は検出・削除されます。信頼性の高い最新のアンチウイルスを使用することが、これらの危険なトロイの木馬による感染を防ぐための最も確実な方法です。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F