PR

Android新マルウェアDroidLock、画面ロックで身代金要求

Security

Source:https://www.bleepingcomputer.com/news/security/new-droidlock-malware-locks-android-devices-and-demands-a-ransom/

🛡 概要

新たなAndroidマルウェア「DroidLock」が確認されました。端末の画面をロックして身代金を要求し、SMS・通話履歴・連絡先・音声録音・アプリのアンインストールや初期化まで多機能に悪用します。Zimperiumの分析によれば、スペイン語話者を狙い、正規アプリを装う偽サイト経由で拡散。感染後は更新要求に見せかけて本体ペイロードを取得し、デバイス管理者(Device Admin)とユーザー補助(Accessibility)権限を濫用して端末の完全制御を試みます。暗号化は行わないものの、画面ロックやPIN変更、工場出荷状態へのリセットで実質的にデータを“人質化”します。

🔍 技術詳細

DroidLockはドロッパー(ローダー)を起点に二段階で侵入します。まずユーザーを騙して偽アプリを手動インストール(サイドロード)させ、起動後に「更新」または「追加コンポーネント」の取得と称して二次ペイロード(本体)を導入。その後、Device Adminの有効化とAccessibility Serviceの許可を強要します。これにより、端末ロック/ロック解除の制御、PIN/パスワード/生体情報の変更、工場出荷状態へのリセット、サイレント操作、通知送出、アプリのアンインストール、カメラ起動、音声録音など計15種のコマンドを遠隔から実行可能になります。ランサムウェア画面はWebViewで配信され、指定の連絡先(プロトン系メール)に24時間以内の支払いを要求、拒否すればファイル破壊を示唆します。さらに、画面オーバーレイによりパターンロックを模倣表示してユーザー入力を窃取し、VNCによる画面共有型リモート操作の足掛かりにします。重要な点として、DroidLockはファイル暗号化自体は行わず、端末ロックや認証情報変更・データ消去で利用不能化(可用性喪失)を引き起こす“スクリーンロッカー型の恐喝”です。配布経路は正規アプリに偽装した不審サイトで、Google Play外のサイドロードが主。Google Play Protectは最新状態であれば本脅威の検出・遮断に対応しています。

⚠ 影響

  • 可用性: 端末ロック、PIN/生体認証変更、工場出荷状態化により業務停止。
  • 機密性: SMS・通話・連絡先・音声・カメラ等の情報窃取。オーバーレイでロックパターンを奪取。
  • 完全性: 不正アンインストールや設定改変により端末健全性が低下。
  • 金銭/ブランド: 身代金支払い圧力、データ損失、顧客対応コスト、信頼失墜。

CVSS: 該当なし(マルウェア挙動であり特定CVEの脆弱性悪用は報告されていません)。

🛠 対策

  • サイドロード禁止: MDM/Android Enterpriseで「提供元不明のアプリ」をブロック、仕事用プロファイルの導入。
  • 権限ガバナンス: Device Adminの利用を原則禁止し、必要時は範囲最小化。Accessibilityは業務承認アプリのみ許可。
  • アプリ審査: 私物端末(BYOD)含め企業ポリシー準拠のアプリストア(Managed Google Play)からのみ配布。
  • 検知/防御: Play Protectを有効化し、モバイルEDRでオーバーレイ・Accessibility乱用・端末初期化コマンドを監視。
  • インシデント対応: 端末隔離→セーフモード起動→Device Admin剥奪→悪性アプリ削除。復旧不能時はワイプとバックアップからの復元。
  • ユーザー教育: フィッシング/偽サイトの見分け、権限要求の是非、迅速な通報手順を訓練。

📌 SOC視点

  • 端末イベント監視: DevicePolicyManagerの有効化/無効化、パスワード変更、wipe/lock要求イベントの検知。
  • 権限異常: Accessibility(BIND_ACCESSIBILITY_SERVICE)の新規有効化、SYSTEM_ALERT_WINDOW/オーバーレイ権限の付与検出。
  • インストール経路: Unknown sourcesからのPACKAGE_ADDED/INSTALLER_PACKAGE_NAMEが空/不審な場合のアラート。
  • UIオーバーレイ兆候: TYPE_APPLICATION_OVERLAYの連続生成、ユーザー操作の自動化イベント(AccessibilityのperformGlobalAction)。
  • ネットワーク: 不審ドメイン/メールエンドポイントへのHTTP(S)通信、WebViewでの外部リソース読込のスパイク。
  • データ収集徴候: 急激な連絡先/通話履歴/SMS APIアクセス、音声録音・カメラ呼び出しの異常頻度。

📈 MITRE ATT&CK

  • Initial Access: 悪意ある/改ざんアプリの配布(偽サイトからのサイドロード)。
  • Execution: モバイルアプリとしてのコード実行、WebViewを用いたランサム画面表示。
  • Privilege Escalation/Persistence: Accessibility機能の濫用、Device Admin権限の取得による恒常的制御。
  • Defense Evasion: 正規アプリ装い、ユーザー操作を偽装するオーバーレイ。
  • Credential Access: 画面オーバーレイによるロックパターンの入力窃取(入力取り込み)。
  • Collection: SMS/通話/連絡先/音声/カメラの情報収集。
  • Command and Control: 受信コマンドに基づく端末操作(アプリ層プロトコル経由のC2想定、具体実装は公表範囲で未特定)。
  • Impact: 端末ロック、PIN/生体情報の変更、工場出荷状態化による可用性阻害と恐喝。

根拠: Zimperiumの解析結果に基づく配布手口、権限濫用、オーバーレイ、VNCによる遠隔制御、工場出荷状態化コマンド等の挙動。

🏢 組織規模別助言

  • 小規模(〜50名): サイドロード禁止とPlay Protect有効化を徹底。重要端末は仕事用プロファイルを標準化し、月1回のアプリ棚卸を実施。バックアップ方針を簡潔に。
  • 中規模(50〜500名): MDMで権限テンプレート化(Device Admin/Accessibilityの許可制)、Managed Google Playでのホワイトリスト配布。モバイルEDRでオーバーレイ/Accessibility乱用の検知ルールを運用。
  • 大規模(500名以上): Android Enterprise Fully Managedの適用、インシデント対応手順の自動化(隔離/ワイプ/再プロビジョニング)、脅威インテリジェンス連携(IOC自動配信)、継続的セキュリティ意識向上プログラム。

🔎 類似事例

  • LockerPIN(2015): Device Adminを悪用し端末PINを変更するAndroidランサム系。
  • SLocker系: 画面ロックと恐喝メッセージ表示で可用性を人質化。
  • BRATA: 端末を工場出荷状態に初期化する破壊的挙動を確認。
  • FluBot/EventBot: オーバーレイとAccessibility濫用で入力・通知を操作。

🧭 次の一手

  • モバイル端末管理強化: Android Enterprise(仕事用プロファイル/完全管理)導入計画を策定。
  • 検知ルール整備: Device Admin/Accessibility/オーバーレイ関連のイベント監視とアラート閾値を定義。
  • 有事手順のドリル: 端末隔離〜ワイプ〜再配布の演習を四半期ごとに実施。
  • ユーザー向け短時間トレーニング: サイドロードのリスクと権限要求の見極め方を10分モジュールで内製。

参考: Zimperiumの公開分析、Google Play Protectの最新ブロック機能。正式ストア外のAPK導入を回避し、権限要求の妥当性を常に点検してください。