シマンテックは4月4日、公式ブログで、Androidを狙ってヨーロッパで広く拡散しているランサムウェア「Android.Lockdroid」が日本に上陸しているとして、注意を喚起した。

Android.Lockdroid は、スマートフォンに侵入するとデバイスの管理者機能を要求し、デバイスをロックして使用不能にする。多くの場合、元通りにするには、工場出荷時にリセットしなければならないという。

ほとんどの場合、アダルト向けサイトから手動でダウンロードされてデバイスに感染するが、日本で見つかった亜種はシステムアップデートに偽装して、オペレーティングシステムにパッチ適用が必要だと信じ込ませるものだった。アダルト動画のアプリに偽装して、インストールするようユーザーを誘導する亜種もある。

Android.Lockdroid は、アダルト動画アプリやシステムアップデートに偽装する

アプリを拡散しているアダルト向けサイト

アプリのインストールの途中で、デバイス管理者機能を有効にするようユーザーに要求し、それに従うと、たとえOSをセーフモードで起動しても削除できなくなる。

デバイスがインターネットに接続していない場合、コマンド & コントロール(C&C)サーバにアクセスしにくい場合は、アプリをあとで再試行するよう求められる。

アプリがサーバに接続できない時に表示されるメッセージ

C&Cサーバにアクセスできると、Android.Lockdroid はデバイス情報をアップロードして端末の設定言語を確認する。アプリのインストール先が日本語設定のデバイスである場合、サーバで確認されると、日本のユーザー向けにローカライズされた身代金要求メッセージを表示する。

どの言語でも身代金要求のメッセージは同様で、ユーザーがこのデバイスで不正なポルノ画像を閲覧または保存したため、法執行機関がデバイスをロックしたという趣旨のものだ。そのうえで、デバイスのロックを解除するには罰金を支払うよう要求してくる。

これまでのAndroid.Lockdroid 攻撃と同じく、今回の亜種も罰金の支払いには iTunes カードを使うように指示し、金額は、被害者の地域に応じて 1万円、100米ドル、100ユーロとなっている。

Android.Lockdroidの亜種で表示される身代金要求の画面。ユーザー自身の写真が表示され(左)、支払いが要求される(右)

このランサムウェアの対処として、セーフモードでAndroid.Lockdroidの削除を試すことができるという。ただし、デバイス上に表示されるアプリの名称は、Androidの設定画面に一覧される名前と異なる場合があることに注意する必要がある。また、マルウェアがデバイス管理者機能を取得している場合は、ユーザーが削除できないため、端末を復元するには工場出荷時にリセットするしかないとのことだ。