脅威スキャンを回避するAndroidのランサムウェアが登場 - Symantec

シマンテックは8月25日、Androidを狙うランサムウェア(身代金型ウイルス)が検出をすり抜け解析を回避する手口を同社ブログで解説した。

ランサムウェアの多くは、Androidスマートフォンなどのモバイルデバイスへの攻撃として使われており、セキュリティベンダーが使う静的解析ツールや静的シグネチャシステムによって検出されにくい傾向がある。

同社は、Android.LockdroidとAndroid.Simplockerのマルウェアファミリーを分析。この2つは以前、コードやデータが同じにならないよう意図して亜種を作りながら、画像やアイコンなどのリソースファイルの一部を変更しなかった。その後、変化が定着し始めると、新しい亜種は画像も変えてくるようになった。

新しい亜種は、画像をアプリのパッケージに格納するのをやめて、データURI(Uniform Resource Identifier)スキームで画像を埋め込むようにした。データURIスキームを使うと、まるで外部リソースのようにWebページにインラインでデータを埋め込むことができる。こうすることで、Base64でエンコードされたデータに画像をインラインで保存することができる。

データURIを使ってインラインで埋め込まれた画像

ランサムウェアは、スキャンツールの解析を回避するため、データの文字列を操作し、別のプログラムに見せかけている。文字列の操作にはいくつか方法がある。

1つは、文字列を逆順の形式で格納し、実行時に正しい形を構築して利用するというもので、実際の文字列は静的解析のときまで判明しない。

逆転した文字列

2つ目は、実際の文字列の先頭や末尾に、連続したゴミ文字を埋め込むというもの。完成した文字列をBase64によるエンコードを実行し、マルウェアのコードで使う。その後、プロセスを逆に実行して、実際の文字を取得する(まず文字列をBase64デコードを実行し、次に先頭または末尾に追加された連続のゴミ文字を削除すれば、実際の文字列が得られる)。

ゴミ文字の追加とBase64エンコードされた文字列

静的な文字列 - 目に見える内容

実行時の文字列 - 取得される内容

3つ目は、ハードコードされた暗号鍵を使い、文字列をAESで暗号化するというもの。文字列を暗号化すると静的な解析ツールには無意味に見えることになる。マルウェアが動作し、文字列が復号されて初めて文字列は意味を成すようになる。

ハードコードされた暗号鍵を持つAESユーティリティ

4つ目は、特定の文字列を検索されないようにするために、空白やカンマを付け加えたり、Unicodeに変換したりする方法。例えば、「Child's」という単語を「Child\u2019s」と表すことで検索を回避できる可能性がある。

文字列が断片化された例

上に挙げた手法は、1つしか選べないわけではないので、複数の手口を組み合わせているランサムウェアもある。

変数名を故意にあいまいにする

また、ランサムウェアは、静的解析ツールやフレームワークの動作を遅らせる各種の手法を利用することもある。これは、同じ名前の複数のフィールドを持つクラスファイルを生成することを狙った手口となる。

実行するには、DEXファイル(Dalvik実行可能ファイル)形式でfieldid構造を操作し、すべての変数で同じstringidエントリを指すようにname_idxフィールドの値を変更する。操作された変数は、すべて同じ名前でデコンパイル/逆アセンブルされた出力が作られ、あいまい性が生じて平均的な静的アナライザでは判断できなくなる。