注意してください、このランサムウェアはあなたのスマートテレビを狙っています

サイバー犯罪者がランサムウェアでテレビを暗号化した後、Androidスマートテレビの所有者から金銭を強要

セキュリティ企業が彼らを追い詰めるために何をしても、サイバー犯罪者は常に一歩先を行っています。過去数週間の間に見出しを飾ったランサムウェアの脅威の中で、新しいタイプの脅威が現れました。

サイバー犯罪者がウェブサイトをハッキングしたり、パスワードを盗んだりすることにしか興味がないと思われたとき、彼らは新しい関心の分野であるモノのインターネット（IoT）に移行したようです。言い換えれば、スマートウォッチ、スマートテレビ、スマート冷蔵庫、またはインターネットに接続されたスマートデバイスを所有している場合は、注意が必要です。

トレンドマイクロの研究者は、Androidスマートフォンとスマートテレビをロックすることができる「FLocker」として知られるAndroidモバイルロックスクリーンランサムウェアを発見しました。はい、あなたは正しく聞きました！

トレンドマイクロの研究者エコ・ドゥアンは、ブログ投稿で、FLocker（ANDROIDOS_FLOCKER.Aとして検出され、「Frantic Locker」の略）バージョンが2015年5月に登場して以来、7,000以上の悪意のあるランサムウェアのバリエーションが同社によって追跡されていると書いています。FLockerランサムウェアは最初、Androidスマートフォンをターゲットにしており、その開発者はランサムウェアを継続的に更新し、新しいAndroidシステムの変更に対応しています。

「これは、私たちが見つけたテレビに感染するランサムウェアの初めての大きな事例です」と、グローバル脅威コミュニケーションマネージャーのクリストファー・バッドは、SCMagazine.comにメールで語りました。

報告によると、その著者は検出を防ぎ、ルーチンを強化するためにマルウェアを再度書き直し続けました。「過去数ヶ月間、リリースされたバリエーションの数に急増と減少が見られました。最新の急増は4月中旬に1,200以上のバリエーションで発生しました」と同社は述べています。

このFLockerは警察トロイの木馬として機能し、潜在的な被害者を脅かして支払いを強要します。アメリカサイバー警察や他の法執行機関を名乗り、マルウェアがダウンロードされテレビがロックされると、ハッカーは潜在的な被害者を犯していない犯罪で非難し、スマートテレビやモバイルデバイスを解除するために200ドルのiTunesギフトカードを要求します。

皮肉なことに、複数のデバイスを使用することによって得られる便利さは、ハッカーにとっても生活を容易にします。「一つのプラットフォームで動作する複数のデバイスを使用することは、多くの人々にとって生活を楽にします。しかし、もしマルウェアがこれらのデバイスの一つに影響を与えると、そのマルウェアは最終的に他のデバイスにも影響を与える可能性があります」とドゥアンは書いています。

「どのように配信されるかというと、標準的な感染ベクターを通じて行われます：新しいことや特別なことはありません。この場合、テレビはランサムウェアの偶発的な付随的被害であり、特にターゲットにされているわけではありません。単に攻撃可能なバージョンのAndroidを実行しているだけです」とバッドは述べました。

FLockerがモバイルデバイスを攻撃するバージョンとスマートテレビを攻撃するバージョンの間にはほとんど違いはありません。

「静的分析を避けるために、FLockerは「assets」フォルダー内の生データファイルにコードを隠します。作成されるファイルは「form.html」と名付けられ、通常のファイルのように見えます。こうすることで、「classes.dex」のコードは非常にシンプルになり、そこに悪意のある動作は見つかりません。したがって、マルウェアは静的コード分析から逃れるチャンスがあります。マルウェアが実行されると、「form.html」を復号化し、悪意のあるコードを実行します」と彼は書いています。

トレンドマイクロによれば、マルウェアはロシア、ブルガリア、ハンガリー、ウクライナ、ジョージア、カザフスタン、アゼルバイジャン、アルメニア、ベラルーシを含むいくつかの地域で自動的に無効化されるように設定されています。

しかし、FLockerがこれらの国の外にあるデバイスを検出すると、マルウェアは30分待機します。短い待機期間の後、デバイス管理者権限を即座に要求するバックグラウンドサービスが開始されます。ユーザーがリクエストを拒否すると、システム更新を偽装して画面がフリーズします。

FLockerはバックグラウンドで実行され、コマンド＆コントロール（C&C）に接続します。C&Cはその後、misspelled.apkという新しいペイロードと、JavaScript（JS）インターフェースが有効な「ransom」HTMLファイルを配信します。このHTMLページは、APKのインストールを開始し、JSインターフェースを使用して影響を受けたユーザーの写真を撮影し、ランサムページに表示する能力を持っています。

ランサムウェブページは、モバイルデバイスに感染しているかスマートテレビに感染しているかに関係なく、画面にフィットします。

新しいバリエーションのFLockerは感染したデバイス上のファイルを暗号化しませんが、連絡先、電話番号、デバイス情報、位置データなど、デバイスからデータを盗む能力があります。

トレンドマイクロの報告書はFLockerがスマートテレビに感染する方法について明確ではありませんが、通常、ランサムウェア感染はSMSや悪意のあるリンクを介して到達することが言及されています。

したがって、インターネットを閲覧する際や、未知のソースからのテキストメッセージやメールを受信する際には注意が必要です。

東ヨーロッパに住んでいない人々には、ドゥアンは彼のブログで「Android TVが感染した場合は、まずデバイスベンダーに解決策を問い合わせることをお勧めします」と推奨しました。

少し技術に詳しい被害者は、自分で作業を処理できる可能性があります。彼は「マルウェアを削除する別の方法は、ユーザーがADBデバッグを有効にできる場合です。ユーザーはデバイスをPCに接続し、ADBシェルを起動して「PM clear %pkg%」というコマンドを実行できます。これにより、ランサムウェアプロセスが終了し、画面が解除されます。ユーザーはその後、アプリケーションに付与されたデバイス管理者権限を無効にし、アプリをアンインストールできます」と述べました。

さらに彼は「モバイルデバイスを保護するために、悪意のあるアプリや脅威から保護するためにスマートデバイスにセキュリティソフトウェアをインストールすることをお勧めします。トレンドマイクロモバイルセキュリティとトレンドマイクロモバイルセキュリティパーソナルエディションは、ユーザーをこのランサムウェアやその他の関連する脅威から保護します。トレンドマイクロモバイルセキュリティパーソナルエディションはGoogle Playで入手可能です」と付け加えました。

次回、あなたのAndroidスマートテレビが再生を拒否した場合、あなたは大きな身代金を要求されることを知っておくべきです。