コントロールパネルで制御する “猫好き” モバイルランサムウェア

McAfee Labsのモバイルマルウェアリサーチチームは、ボットネット機能を持ち、Webベースのコントロールパネルを使用して操作する新しいAndroid向けのランサムウェアを発見しました。このランサムウェアを制御するためのコントロールサーバーは正規のクラウドサービスを利用して構築されていました。

このランサムウェアの特徴には、ファイルの暗号化、SMSメッセージの盗聴、さらには端末をロックすることに加え、このランサムウェアの作成者が「猫の画像」を好んで使用している点が挙げられます。

20160808elgato1_6

このランサムウェアは、定期的にHTTP経由でコントロールサーバーと通信を行い、攻撃者からの命令を待ち受けます。(コントロールサーバーとの通信は暗号化されずに行われます。)

20160808elgato2_3

このランサムウェアで使われているコマンドの一覧:

コマンド番号 タグ 説明
0 Read commands コントロールサーバーに新しいコマンドを要求する
1 Send SMS message 端末からSMSメッセージを送信する
2 Remove all SMS すべてのSMSメッセージを攻撃者に転送し削除する
3 Encrypt SD files SDカード上のすべてのファイルを暗号化する(拡張子 .enc を付加する)
4 Encrypt path in SD files SDカード上の特定のフォルダ内のファイルを暗号化する(拡張子 .enc を付加する)
5 Decrpyt SD files SDカード上のすべてのファイルすべてを復号する
6 Decrypt path in SD files SDカード上の特定のフォルダ内のファイルを復号する
7 Lock 端末をロックする
8 Exit アプリケーションを終了する

コントロールサーバーからのコマンドを解釈するコード:

20160808elgato3_2

このランサムウェアにおける機能的な特徴としては、ファイルの暗号化、SMSメッセージの転送、端末ロックが挙げられます。ファイルの暗号化に関しては、アプリケーション内にハードコードされたパスワードを使い、AESアルゴリズムによってファイルを暗号化します。さらには、このランサムウェアによって暗号化されたファイル (拡張子.encのファイル) を適切に復号するための関数が準備されていることも興味深い点です。

暗号化されたファイルを復号するコード:

20160808elgato41024x404

このランサムウェアのボットネット機能を操作するコントロールパネルでは、簡単にコマンドを発行することができます:

  • 端末のロック・アンロックを行う(ロック画面には「猫の画像」が表示される)
  • 端末にSMSを送信する
  • SDカード上のファイルの暗号化・復号を行う(アプリ内にハードコードされたパスワードが使われる)
  • ユーザに気づかれることなくSMSメッセージを収集する

20160808elgato5_2

McAfee Labsでは、サービスプロバイダーと協力し、この悪質なコントロールサーバーを停止するよう働きかけを行い、このランサムウェアによる被害拡大を防止しています。

なお、今回解析したランサムウェアは、アクセス制御されておらず、誰でもWeb上のコントロールパネルにアクセスできる点などを考慮すると、サイバー犯罪に使用されるマルウェアキットのデモバージョンであったと推測しています。

この手のマルウェアキットを使用した攻撃は、特定のグループや企業を狙う攻撃者が、アンダーグラウンドのマーケットでマルウェアキットを購入し、フィッシング、トロイの木馬型マルウェア、ソーシャルメディアネットワークやソーシャルエンジニアリングといった手口で配布するのが一般的です。

McAfee Mobile Security はこのAndroidに対する脅威を Android/Ransom.Elgato として検出し警告するとともに、ユーザーのデータ損失を防ぎます。

また、最近のランサムウェアの動向については「ランサムウェア関連情報 まとめ」にてご確認いただけます。


※本ページの内容は McAfee Blog の抄訳です。

原文: ‘Cat-Loving’ Mobile Ransomware Operates With Control Panel
著者: Fernando Ruiz