解析者: Weichao Sun   

 脅威タイプ:

クリック詐欺

 プラットフォーム:

Android OS

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、サーバの通信の匿名化を許可する正規サービスである「The Onion Router(Tor)」を利用する、モバイル端末用としては初めて確認された「身代金要求型マルウェア(ランサムウェア)」です。マルウェアに感染したモバイル端末のユーザは、モバイル端末に保存されたファイルの使用不能および身代金の要求に見舞われる可能性があります。これによりデータ損失と同様に金銭を失う結果となります。

マルウェアは、公式・非公式のアプリストアからダウンロードされ、モバイル端末に侵入します。

  詳細

ファイルサイズ 4917678 bytes
タイプ APK
メモリ常駐 はい

侵入方法

マルウェアは、公式・非公式のアプリストアからダウンロードされ、モバイル端末に侵入します。

その他

マルウェアは、"Sex xonix"という名前の詐欺アプリを装います。

アプリケーションが開始されると、1,000ルーブルの身代金の支払をユーザに促すユーザインターフェース(UI)を表示します。ユーザがこの身代金額を支払わない場合、ユーザの携帯端末を永久にロックし、モバイル端末上のすべての情報が消失するとしています。

このマルウェアは、携帯端末が起動する毎に、自動的に起動します。

このマルウェアが表示する画面:

以下は、表示の概要です。

ソフトウェア「nelitsenzionnnogo」のダウンロードおよびインストールにより、あなたの携帯端末は、ロシア連邦防衛法 1252条に従い、ロックされました。

ロックを解除するためには、1,000ルーブルの支払いが必要です。

48時間以内に支払って下さい。さもなければ、携帯端末上のすべての情報は永久に消滅します。

  1. 最寄りの決済システム「QIWI」の端末を探して下さい
  2. 端末で「QIWI VISA WALLETに入金」を選びます
  3. 電話番号「79660624806」を入力し、「次へ」を押して下さい
  4. 入力画面が表示されたら、「7ki」を除いた、あなたの電話番号を入力します
  5. お金を入れ、「支払い」を押して下さい
  6. 支払い後 24時間以内に、あなたの携帯端末は解除されます
  7. なお、携帯ショップやメッセンジャー「Euronetwork」経由での支払いも可能です
注意:自分自身で解除しようとすると、あなたの携帯端末は完全にロックされます。その場合、すべての情報が失われ、二度と解除することができなくなります。

ユーザは、QIWIのアカウント「79660624806/79151611239/79295382310」、もしくは「Monexy」のアカウント「380982049193」に、48時間以内に支払うよう要求されます。この脅迫状は常に表示されるため、ユーザはモバイル端末を正常に使用することができなくなります。

また同時に、ストレージ(内部ストレージと外部ストレージの両方)上にある、以下の拡張子を持つファイルが暗号化されます。

  • .JPEG
  • .JPG
  • .PNG
  • .BMP
  • .GIF
  • .PDF
  • .DOC
  • .DOCX
  • .TXT
  • .AVI
  • .MKV
  • .3GP
  • .MP4

マルウェアは、以下のURLでTorを利用して自身のC&Cサーバと通信します。

  • http://{BLOCKED}4wtxee23q6.onion/

  対応方法

対応検索エンジン: 9.700
Trend Micro Mobile Security パターンバージョン: 1.465.00
Trend Micro Mobile Security パターンリリース日: 2014年5月13日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ANDROIDOS_LOCKER.HBT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

その他

このマルウェアにモバイル端末が感染した場合は、「Android Debug Bridge(adb)」を使用して手動で削除することができます。adb は、Android の「Software Development Kit (SDK)」の一部で、Android の Webサイトから自由にダウンロードできます。adb の使用手順は以下のとおりです。

  1. adb のコンポーネントを含む Android SDK をコンピュータにインストールします。
  2. 感染したモバイル端末を USB経由でコンピュータに接続します。
  3. コマンドラインで以下のコマンドを実行して下さい。
    adb uninstall “org.simplelocker”

4.2.2 より前のバージョンの Android端末では、この手順で問題なく完了します。しかし、4.2.2 以降のバージョンの場合は問題が起こります。モバイル端末は、ユーザにデバッグを許可する鍵を受け付けるよう、ダイアログで促します。しかし、ランサムウェアの表示画面がこれを妨害するため、adb を使用してモバイル端末から削除することが難しくなります。


ご利用はいかがでしたか? アンケートにご協力ください