セキュリティ企業ESETの研究者らは、AndroidデバイスのPINを変更するマルウェアを発見した。これは、進化を続けるランサムウェア攻撃の中で初めてのものだ。
ほとんどのユーザーにとって、マルウェアを除去する唯一の選択肢は携帯電話を工場出荷時の設定にリセットすることですが、残念ながらこれによりデバイス上のすべてのデータも削除されます。
このマルウェアは「Porn Droid」と名乗り、アダルトコンテンツのビューアを謳っています。ESETのマルウェアアナリスト、ルーカス・ステファンコ氏によると、このマルウェアはサードパーティ製のAndroidアプリマーケットプレイスや海賊版ソフトウェアのフォーラムでのみ確認されています。
しかし、インストール後、ユーザーはFBIから送られたとされる「禁止されているポルノ」を閲覧したという警告を目にする。そして、3日以内に500ドルの罰金を支払うよう要求される。
Porn DroidのPINを変更するには、スマートフォンへの管理者レベルのアクセス権が必要です。Stefanko氏によると、このマルウェアは新たな手法を用いてこの高度なアクセス権を取得しているとのことです。
Porn Droid が起動すると、ビューアアプリを起動するためのボタンをクリックするように求められます。しかし、そのウィンドウの下に、デバイスの管理者権限を設定するための別のボタンがあります。
ESET Porn Droid は、偽のウィンドウを通じてユーザーを騙して管理者アクセスを許可させます。
「ボタンをクリックすると、ユーザーのデバイスは壊滅状態になります」とステファンコ氏は書いている。「トロイの木馬アプリは管理者権限を取得し、デバイスをロックできるようになります。さらに悪いことに、ロック画面に新しいPINを設定します。」
他の種類のAndroidマルウェアは、無限ループを使ってランソンウェアの警告をフォアグラウンドに表示し続けることで画面をロックします。しかし、ステファンコ氏によると、これはコマンドラインツール、Androidデバッグブリッジ、またはセーフモードで管理者権限を無効にすることで解決できるとのことです。
Porn Droidの場合、誰かが管理者権限を無効にしようとすると、マルウェアはコールバック関数を使用して管理者権限を再有効化するとステファンコ氏は書いている。
このマルウェアは、Dr. Web、ESET の Mobile Security、Avast の 3 つのモバイル ウイルス対策製品をシャットダウンするようにもコード化されています。
より高度なユーザーであれば、携帯電話をリセットしてすべてのデータを消去することなく、Porn Droidを駆除できる可能性があります。デバイスのルート権限があればマルウェアを削除することは可能であり、一部のセキュリティソフトウェアでブロックできるとステファンコ氏は記しています。
ランサムウェア攻撃は、デスクトップとモバイルの両方において、インターネット上で最も執拗で被害の大きい詐欺の一つとなっています。最も蔓延している詐欺の一つは、個人のファイルを暗号化し、ファイルの復号と引き換えに金銭を要求するものです。
セキュリティ専門家は一般的に、身代金を支払わないようアドバイスしている。なぜなら、多くの場合、詐欺師は被害者のコンピュータを修復しようとしないからだ。
