クリック詐欺
Android OS
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、サーバの通信の匿名化を許可する正規サービスである「The Onion Router(Tor)」を利用する、モバイル端末用としては初めて確認された「身代金要求型マルウェア(ランサムウェア)」です。マルウェアに感染したモバイル端末のユーザは、モバイル端末に保存されたファイルの使用不能および身代金の要求に見舞われる可能性があります。これによりデータ損失と同様に金銭を失う結果となります。
マルウェアは、公式・非公式のアプリストアからダウンロードされ、モバイル端末に侵入します。
侵入方法
マルウェアは、公式・非公式のアプリストアからダウンロードされ、モバイル端末に侵入します。
その他
マルウェアは、"Sex xonix"という名前の詐欺アプリを装います。
アプリケーションが開始されると、1,000ルーブルの身代金の支払をユーザに促すユーザインターフェース(UI)を表示します。ユーザがこの身代金額を支払わない場合、ユーザの携帯端末を永久にロックし、モバイル端末上のすべての情報が消失するとしています。
このマルウェアは、携帯端末が起動する毎に、自動的に起動します。
このマルウェアが表示する画面:
以下は、表示の概要です。
ソフトウェア「nelitsenzionnnogo」のダウンロードおよびインストールにより、あなたの携帯端末は、ロシア連邦防衛法 1252条に従い、ロックされました。
ロックを解除するためには、1,000ルーブルの支払いが必要です。
48時間以内に支払って下さい。さもなければ、携帯端末上のすべての情報は永久に消滅します。
ユーザは、QIWIのアカウント「79660624806/79151611239/79295382310」、もしくは「Monexy」のアカウント「380982049193」に、48時間以内に支払うよう要求されます。この脅迫状は常に表示されるため、ユーザはモバイル端末を正常に使用することができなくなります。
また同時に、ストレージ(内部ストレージと外部ストレージの両方)上にある、以下の拡張子を持つファイルが暗号化されます。
マルウェアは、以下のURLでTorを利用して自身のC&Cサーバと通信します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ANDROIDOS_LOCKER.HBT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
その他
このマルウェアにモバイル端末が感染した場合は、「Android Debug Bridge(adb)」を使用して手動で削除することができます。adb は、Android の「Software Development Kit (SDK)」の一部で、Android の Webサイトから自由にダウンロードできます。adb の使用手順は以下のとおりです。
4.2.2 より前のバージョンの Android端末では、この手順で問題なく完了します。しかし、4.2.2 以降のバージョンの場合は問題が起こります。モバイル端末は、ユーザにデバッグを許可する鍵を受け付けるよう、ダイアログで促します。しかし、ランサムウェアの表示画面がこれを妨害するため、adb を使用してモバイル端末から削除することが難しくなります。