Androidスマホで警察ロック画面 Koler身代金要求アプリ ランサムウェア
スマートフォンやタブレット端末に搭載されてる Android OS をターゲットにした不正な身代金要求アプリ Koler が確認されたとか。
「Koler」というウイルス検出名は、この手の画面をロックする系なプログラムを指す Locker(ロッカー)をもじったもの?
● Police Locker land on Android Devices (Malware don't need Coffee)
http://malware.dontneedcoffee.com/2014/05/police-locker-available-for-your.html
● 「警察からの警告」を装う Android ランサムウェア (ソフォス)
http://www.sophos.com/ja-jp/press-office/press-releases/2014/05/ns-android-police-warning-ransomware.aspx
● Difficulty removing Koler Trojan or other ransomware on Android? (Malwarebytes)
http://blog.malwarebytes.org/mobile-2/2014/05/difficulty-removing-koler-trojan-or-other-ransomware-on-android/
● Reveton / IcePol Ransomware Moves to Android (Bitdefender)
http://labs.bitdefender.com/2014/05/reveton-icepol-ransomware-moves-to-android/
■ Ransommail: Ransomware Mobile Twist With Blackmail (Cyphort)
http://www.cyphort.com/nude-twist-ransomware/● AndroidLocker ransomware targeting android phones (Dell SonicALERT)
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=679
Android端末をターゲットにした身代金型ウイルス(ランサムウェア)なアプリそのものは、去年2013年にも確認されてます。
ただ、この Koler はWindowsパソコンをターゲットにFBIなどの警察関連機関を勝手に名乗ってロック画面を表示して使えなくする身代金型ウイルス(ランサムウェア)の概念を Android へ移植した初の脅威ということで注目を集めてます。
Q. Kolerウイルスはどこで配られてますか?
改ざん被害を受けてる一般サイト経由で、最終的に海外のポルトサイト(アダルトサイト)を装ったアプリ配布サイトへ強制的に転送される手口が確認されます。
当然ながら、そこは正規Google Playストアでも何でもない、いわゆる野良サイトになります。
この直前には、ブラウザのユーザーエージェントからアクセスしてきたコンピュータやブラウザの種類を判別し、それぞれの攻撃ページヘ転送する仕組みもあったそうです。
- Windows(Internet Explorer)
⇒ ドライブバイ・ダウンロード攻撃でWin32/Reveton ランサムウェアウイルスを強制的にインストールする - Windows(Chrome/Firefox)、Mac OS、Linux
⇒ ブラウザをロックするランサムウェアもどき のページへ誘導する - Android
⇒ Kolerアプリの導入ページへ誘導する
Q. Kolerウイルスは強制的に感染しますか?
不正なAndroidアプリを [ダウンロード] → [インストール] → [起動] といったユーザーの意思による手動の導入作業が必要です。
Q. iPhone などiOS端末は影響ありますか?
iPhone や iPad は、審査がある App Store でしかアプリを入手できないので、(Apple がヘマをしない限り)不正なアプリを手にする機会はまず訪れません。
ただし、改造行為(いわゆるジェイルブレイク)を行った端末は、何でもウェルカム状態なので知りません。
Q. ウイルスの感染症状は?
端末がアクセスしてきたIPアドレスから各国に存在する警察機関(約30地域に対応)を名乗り、違法な行為を確認したから”罰金”名目で身代金の支払いを要求する画面が表示されるみたいです。
いちおう「端末をロックした」「ファイルを暗号化した」なんてな警告文も提示するそうだけど、これはウソデタラメ!
挙動としては、このAndroidアプリを終了する時に、この不正なアプリを再び起動する処理が用意されていて無限ループしてしまう作りみたい。
Kolerウイルス検体
MD5 fb14553de1f41e3fcdc8f68fd9eed831
> ttps://www.virustotal.com/ja/file/2e1ca3a9f46748e0e4aebdea1afe84f1015e3e7ce667a91e4cfabd0db8557cbf/analysis/1398335319/
> ttps://www.virustotal.com/ja/file/2e1ca3a9f46748e0e4aebdea1afe84f1015e3e7ce667a91e4cfabd0db8557cbf/analysis/1398335319/
Avira Android/Koler.A
avast Android:Koler-A
BitDefender Trojan.Android.Koler.A
Dr.Web Android.Locker.1.origin
ESET Android/Koler.A
F-Secure Trojan:Android/Koler.A
Kaspersky HEUR:Trojan.AndroidOS.Koler.a
Sophos Andr/Koler-A
Symantec Android.Lockdroid.G
/