WannaCryに似たランサムウェアがAndroidスマートフォンを標的に

WannaCryに似たものがAndroidスマートフォンの外部ストレージ上のファイルを暗号化

WannaCryランサムウェアは、世界中の多くの悪党にインスピレーションを与えているようです。最近、日本の14歳のティーンエイジャーがこのマルウェアに感銘を受け、WannaCryに似たマルウェアを開発したとして先週逮捕されたことを報告しました。

現在、中国のサイバー犯罪者たちは、WannaCryの類似グラフィックスを使用し、ユーザーを迅速に身代金を支払うように仕向けるAndroidランサムウェアを開発しました。

WannaCryランサムウェアは、MicrosoftのWindowsオペレーティングシステムの脆弱性を悪用し、先月72時間以内に150カ国で30万台以上のコンピュータに感染しました。WannaCryランサムウェアのクリプトワームはデータを暗号化し、データを解除するためのパスワードと引き換えに仮想通貨ビットコインでの支払いを要求しました。

中国のセキュリティ企業Qihoo 360によって最初に発見され、Avastによって“WannaLocker”と名付けられたこのWannaCryランサムウェアの類似版は、現在中国に住むAndroidユーザーを標的にしています。ハッカーたちは、このランサムウェアを中国のゲームフォーラムを通じて拡散させており、非常に人気のあるモバイルゲーム王者の栄光のプラグインとして偽装しています。

マルウェアはどのように機能するのか？

この偽のアドオンがデバイスにインストールされると、WannaLockerランサムウェアはアプリドロワーからアプリアイコンを隠し、感染したデバイスのメイン壁紙をアニメ画像に変更します。そして、感染したデバイスの外部ストレージに保存されているファイルを暗号化し始めます。

ランサムウェアはAES暗号化を使用してファイルをロックします（以下のコードを参照）。Android OSの破損やクラッシュを防ぐために、“.”で始まるファイルや、“DCIM”、“download”、“miad”、“android”、“com.”を含むパスのファイル、または10 KBを超えるファイルは暗号化しません。

暗号化プロセスが完了すると、Simplockerよりも少ない身代金を要求し、WannaCryのメモに明らかにインスパイアされた身代金メッセージを使用してその指示を明らかにします。

Avastのモバイル脅威インテリジェンスおよびセキュリティ責任者であるNikolaos Chrysaidosは、ブログ投稿で次のように説明しています：

“このランサムウェアは、約5〜6米ドルに相当する40中国人民元の身代金を要求します。これは、過去に他のモバイルランサムウェアが要求した金額に比べてそれほど多くはありません。身代金が暗号通貨ではなく通常の通貨で要求されていることは、背後にいる人々が迅速にお金を稼ごうとしていることを示唆しています。しかし、これはリスクが高く、通常の通貨は簡単に追跡可能です。”

ランサムウェアの被害者は、QQ、Alipay、WeChatなどの中国の支払い方法を使用して通常の通貨で身代金を支払うよう指示されています。

身代金の扱いが雑であることは、アマチュアハッカーまたはハッカーグループの作品である可能性を示唆しています。その結果、中国当局がWannaLockerランサムウェアの背後にいる人物や身代金を受け取っている人物を特定するのは時間の問題です。

AvastからAndroidユーザーへのセキュリティアドバイスは次のとおりです：

ランサムウェアから電話や貴重な写真、ビデオ、連絡先を保護するために、データを頻繁にバックアップし、すべてのデバイスにウイルス対策ソフトをインストールしてください。

さらに、AndroidユーザーはGoogle Play以外のアプリマーケットプレイスからアプリをダウンロードすることを控えるべきです。身代金攻撃の被害者になった場合は、身代金の要求に屈せず、代わりに専門家の助けを求めてください。

先週、オンラインセキュリティ企業Check Pointは、中国の広告企業Rafotechによって作成された“Fireball”という悪意のあるマルウェアを検出しました。このマルウェアは、ユーザーのウェブブラウザを制御し、クライアントのために偽の広告クリックやプロモーションを生成します。このマルウェアは、インドが最も影響を受けた中で、世界中で2億5000万台以上のコンピュータに影響を与えました。

出典: IBT