McAfee Blog
マカフィー株式会社公式ブログ

McAfee, Inc.

McAfee Labs] 2016年8月10日 更新

コントロールパネルで制御する "猫好き" モバイルランサムウェア

 

McAfee Labsのモバイルマルウェアリサーチチームは、ボットネット機能を持ち、Webベースのコントロールパネルを使用して操作する新しいAndroid向けのランサムウェアを発見しました。このランサムウェアを制御するためのコントロールサーバーは正規のクラウドサービスを利用して構築されていました。

このランサムウェアの特徴には、ファイルの暗号化、SMSメッセージの盗聴、さらには端末をロックすることに加え、このランサムウェアの作成者が「猫の画像」を好んで使用している点が挙げられます。

20160808elgato1_6

このランサムウェアは、定期的にHTTP経由でコントロールサーバーと通信を行い、攻撃者からの命令を待ち受けます。(コントロールサーバーとの通信は暗号化されずに行われます。)

20160808elgato2_3

このランサムウェアで使われているコマンドの一覧:

コマンド番号タグ説明
0 Read commands コントロールサーバーに新しいコマンドを要求する
1 Send SMS message 端末からSMSメッセージを送信する
2 Remove all SMS すべてのSMSメッセージを攻撃者に転送し削除する
3 Encrypt SD files SDカード上のすべてのファイルを暗号化する(拡張子 .enc を付加する)
4 Encrypt path in SD files SDカード上の特定のフォルダ内のファイルを暗号化する(拡張子 .enc を付加する)
5 Decrpyt SD files SDカード上のすべてのファイルすべてを復号する
6 Decrypt path in SD files SDカード上の特定のフォルダ内のファイルを復号する
7 Lock 端末をロックする
8 Exit アプリケーションを終了する

コントロールサーバーからのコマンドを解釈するコード:

20160808elgato3_2

このランサムウェアにおける機能的な特徴としては、ファイルの暗号化、SMSメッセージの転送、端末ロックが挙げられます。ファイルの暗号化に関しては、アプリケーション内にハードコードされたパスワードを使い、AESアルゴリズムによってファイルを暗号化します。さらには、このランサムウェアによって暗号化されたファイル (拡張子.encのファイル) を適切に復号するための関数が準備されていることも興味深い点です。

暗号化されたファイルを復号するコード:

20160808elgato41024x404

このランサムウェアのボットネット機能を操作するコントロールパネルでは、簡単にコマンドを発行することができます:

  • 端末のロック・アンロックを行う(ロック画面には「猫の画像」が表示される)
  • 端末にSMSを送信する
  • SDカード上のファイルの暗号化・復号を行う(アプリ内にハードコードされたパスワードが使われる)
  • ユーザに気づかれることなくSMSメッセージを収集する

20160808elgato5_2

McAfee Labsでは、サービスプロバイダーと協力し、この悪質なコントロールサーバーを停止するよう働きかけを行い、このランサムウェアによる被害拡大を防止しています。

なお、今回解析したランサムウェアは、アクセス制御されておらず、誰でもWeb上のコントロールパネルにアクセスできる点などを考慮すると、サイバー犯罪に使用されるマルウェアキットのデモバージョンであったと推測しています。

この手のマルウェアキットを使用した攻撃は、特定のグループや企業を狙う攻撃者が、アンダーグラウンドのマーケットでマルウェアキットを購入し、フィッシング、トロイの木馬型マルウェア、ソーシャルメディアネットワークやソーシャルエンジニアリングといった手口で配布するのが一般的です。

McAfee Mobile Security はこのAndroidに対する脅威を Android/Ransom.Elgato として検出し警告するとともに、ユーザーのデータ損失を防ぎます。

また、最近のランサムウェアの動向については「ランサムウェア関連情報 まとめ」にてご確認いただけます。


※本ページの内容は McAfee Blog の抄訳です。

原文: ‘Cat-Loving’ Mobile Ransomware Operates With Control Panel
著者: Fernando Ruiz

必見 ランサムウェア情報 身代金被害急増中!

Also Find Us On

マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な世界を目指し、企業そして個人向けのセキュリ ティソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。

 

© 2003-2017 McAfee, Inc. All Rights Reserved.