ESETは10月13日(米国時間)、「DoubleLocker is an innovative ransomware that is misusing Android」において、これまでに見たことのなかったタイプのAndroid向けランサムウェア「DoubleLocker」を発見したと伝えた。これまでのランサムウェアとは異なり、2段階に渡って身代金を要求するとしており注意が必要。

DoubleLockerはAndroidのアクセシビリティ機能を悪用して乗っ取りを行う。具体的な手順は以下の通りだ。

まず、PINコードをランダムな値に変更。変更されたPINコードはどこかに送信されることはなく、ユーザーであってもセキュリティ専門家であってもPINコードを推測することはできないとしている。身代金が支払われるまでデバイスはロックされ、身代金を支払った後にロックが解除される。

DoubleLockerはさらにデバイス内部のファイルの暗号化を実施。暗号化の処理に穴は存在しておらず適切に行われているため、攻撃者から復号用の鍵が提供されない限り元に戻すことはできないとしている。先にデバッグモードに入っているという状況を除きDoubleLockerが発動してしまったあとは、工場出荷時の状態に戻すしかこのランサムウェアを取り除く方法がないとされており、被害は深刻だ。

このランサムウェアはAdobe Flash Playerを偽装してアプリとして侵入を試みるとしており、正規のストア以外からAdobe Flash Playerアプリをインストールする場合は注意が必要。

Adobe Flash Playerを偽装したランサムウェアDoubleLocker - 資料: ESET提供

Google Play servicesを有効にすることを求めてくる - 資料: ESET提供

Bitcoinでの支払を要求 - 資料: ESET提供

ファイルが暗号化されたことも説明されている - 資料: ESET提供