Last month, I posted a blog about an increase in the use of AutoIt scripts by malware authors to carry out malicious activities. Attackers have used AutoIt scripts for a long time, and they are gaining in popularity due to their flexible and powerful nature. We have now come across another piece of malware (which Read more…
Recently, we have seen many Facebook posts with links leading to applications called Give Hearts, Drink It Up and Daily Horoscope. The applications are very popular – they have over 5 million monthly users – and are managed by the same provider called App Discovery Engine. The posts attracted my attention because they seem to […]
We’re really excited to announce that we’ve just reached the 3 million mark for number of licenses we’ve issued on the AVAST Free for Education program! Some 2500 schools, libraries, universities and other educational institutions in the USA are benefiting from this program by receiving free business-grade antivirus protection. The AVAST Free for Education league […]
The SnapChat smart phone app is one of the newest crazes for teens because it allows a user to send what they believe to be a very private and very temporary photo to another user (and if you use it just for fun with friends, it can be a blast). Because SnapChat (seen below, yellow icon) Read more…
寄稿: Lionel Payet
今年 6 月、シマンテックはユーザーの Android 端末を乗っ取って身代金を請求する悪質な Android アプリを発見しました。この発見で、ランサムウェアが携帯デバイスなどの新しいプラットフォームにも出現するだろうという以前の予測が的中したことになります。
プレエンプティブな SMS スパムドメイン識別の一環として、シマンテックは最近登録されたばかりのドメインを検出しました。このドメインが、ランサムウェアのソーシャルエンジニアリングを利用する新しい偽ウイルス対策ソフトウェアの Android 版を送り出しています。また別の手がかりから、このアプリは Android.Fakedefender の背後にいるのと同じ作成者に関係している、またはその作成者から発信されていると考えられています。Android.Fakedefender については、去る 6 月にこのブログでもお伝えしました。デザインが新しくなり、身代金の支払い方法も変化していますが、今回の新しい亜種のパッケージファイルには今も古い画像が含まれています。新旧どちらのバージョンも、標的は主としてロシア語圏のユーザーです。
この亜種の感染経路はまだ判明していませんが、悪質なドメインへのリンクを記載したスパムが使われているものとシマンテックは見ています。
図 1. 最近登録されたばかりのドメインから悪質な Android アプリが送信される
この悪質なアプリの背後にいる作成者は、サードパーティの未知のソースから Android アプリをインストールさせようとします。
シマンテックは、この悪質なアプリを Android.Fakedefender.B として検出します。Android.Fakedefender.B は、アダルトビデオサイトの公式アプリケーションに偽装しており、ソーシャルエンジニアリングに引っかかってアプリをインストールしたユーザーは、Android デバイスからロックアウトされてしまいます。
インストールすると警告メッセージが表示され、ユーザーはアプリの全機能を使う前にウイルススキャンを実行するよう促されます。
このマルウェアの旧バージョンは、Android Defender アプリに偽装していましたが、今回のバージョンが偽装しているのは、ウイルス対策ソフトウェアとして知られる Avast です。ウイルススキャンが完了すると、デバイスが別の脅威やウイルスに感染していると思い込ませ、保護のためにデバイスをロックすると通知してきます。
今回の亜種で、作成者がランサムウェアの支払い方法として使っているのは MoneyPak で、デバイスのロックを解除するには 100 米ドルが必要です。以前のバージョンでは、ロック解除の引き換え条件としてユーザーのクレジットカード番号が求められていました。Web マネーは、Windows プラットフォームで偽ウイルス対策ソフトウェアやランサムウェアに好んで用いられる手段であり、何年も前から使われています。被害を受けたユーザーから見ると、直接クレジットカード情報を渡すより、いずれかの Web 決済会社を介した支払いのほうが、正規で安全という印象があるようです。
図 2. 偽のウイルス対策アプリ
Windows システム上の偽ウイルス対策ソフトウェアやランサムウェア何年も前から成功しており、新しい手口と設計を身に着けて進化し続けています。Android 版のモバイルマルウェアも同じような進化の道をたどり、ユーザーを欺いて身代金を払わせるために、新しい手口を備えるようになると、シマンテックは予測してきました。
現時点で、Android.FakeDefender.B は被害者が感染を除去できないようにする目的で悪用を組み込んではいません。これまでには、Android.Obad のように他の Android マルウェアが、密かにデバイスの管理者権限を利用してマルウェアの除去を難しくする例が確認されていました。Android.FakeDefender.B の作成者は、ソーシャルエンジニアリングと、連続ポップアップのような簡単な手口を利用して被害者から金銭を詐取しようとします。Android.FakeDefender.B に感染しても、Android デバイスのアプリケーションの管理機能を使えばマルウェアはアンインストールできます。
そもそもの感染を防ぐためには、ノートン モバイルセキュリティや Symantec Mobile Security などのセキュリティアプリのインストールをお勧めします。信頼できるアプリマーケットからダウンロードしたアプリのみをインストールするようにすれば、悪質なアプリは回避できます。スマートフォンとタブレットの安全性に関する一般的なヒントは、モバイルセキュリティの Web サイト(英語)にアクセスしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
If you have any SSL certificates with less than 2048-bit keys, now is the time to upgrade. Why? Because the Certification Authority/Browser (CA/B) Forum and the National Institute of Standards and Technology have determined that any key length below 20…
AVAST virus lab analyst Filip Chytrý has discovered a fake Android Antivirus application impersonating avast! Free Mobile Security. The malicious application called com.avastmenow has a user interface that looks very similar to the genuine one by AVAST Software. After the installation of the fake program, an icon with the text of PornHub is displayed to users. […]
There have been over 50 million downloads of avast! Mobile Security from Google Play since it was released last year. Android users are becoming more aware of the security and theft issues surrounding their mobile devices, and putting their trust in AVAST. A few weeks ago, avast! Mobile Premium was introduced providing superior back-up and […]
Contributor: Lionel Payet
Back in June we discovered a malicious Android application that was holding user’s Android phones for ransom. This discovery confirmed earlier predictions that ransomware would evolve and arise on new platforms, such as …