Cerber の身代金メモが 2 つの Android アプリで見つかる
マルウェアのリサーチャーが、2 つの Android アプリのソース・コードの中に Cerber の身代金メモを見つけました。Accechiamoli および ForzaFò アプリは Google Play ストアから直接ダウンロードできるものですが、そこに悪名高い README.hta ファイルが含まれているのです。この発見により、危険なマルウェアの開発者がターゲットの分野を広げることに決めたのではと心配になったり、恐ろしく思えたりするかも知れません。しかし、これは問題ではないと言っておきましょう。Android 端末をターゲットにした新たな悪意のあるキャンペーンはまだ放たれていません。つまり、ウィルスはまだ Windows OS のユーザーのみを攻撃しているのです。そこで、イタリアの Foggia Calcio サッカー・クラブのファンのみなさんが、ランサムウェアに感染する可能性を心配する必要はありません。
ESET のセキュリティ・チームでは、Cerber のプログラム・コードを調べるために、これら 2 つのアプリをスキャンしました。しかし、Android 端末にとって怪しく、潜在的に危険なものは何も見つかりませんでした。スキャナで見つけたのは README.hta ファイルだけでしたが、これは Cerber の身代金メモです。ESET のモバイル・セキュリティの専門家、Lukas Stefanko によると、このファイルがこのようなアプリにたどり着いた理由の 1 つは、その開発者の Francesco Pio Recchia が Cerber の被害者だったからとのことです。攻撃の際、このウィルスは暗号化されたファイルの入っている各フォルダに身代金メモを投下します。そこで、開発者がこれらのファイルの除去を行わなかった場合、アプリのアイコン・フォルダに残ったままになっていた可能性があるとのことです。別の推測によると、Accechiamoli や ForzaFò アプリのアイコンのデザイナが Cerber に感染していた可能性もあるとも言われています。このように、身代金メモはたまたまアイコン・フォルダに残っていた可能性があるというのです。一方で、開発者がそれをチェックせずに、ただ単純にコピー&ペーストをした、ということになります。それでも、身代金メモはただ単に気づかれなかったのだと。とはいえ、これは単なる推測です。本当の所、実際に何が起きたのかはまだ解明されていません。
そんな中、HTA ファイル が暗号化されたウィルスの拡散に使われた可能性もあげられていますが、これは違うでしょう。README.hta ファイルは悪意のあるものではなく、攻撃用のコードも含まれていません。セキュリティ・プログラムはこれを悪意があるものと識別しますが、実際には端末に何のダメージを与えることもできません。ただ、ランサムウェアの攻撃の後で、ハッカーが被害者にやらせたいことについての指示が書かれているだけです。身代金メモにはデータの暗号化についての情報が記載され、それらを取り戻したい場合は身代金を支払うようにと要求しています。被害者は Tor ブラウザでのみアクセス可能な、特別な Cerber の支払サイト経由でいくらかビットコインを送金するように求められています。ですが、このランサムウェアの被害者には、そのようなサイバー犯罪者の命令 [参照 en-5] には従うことがないようにと申し上げておきましょう。身代金を支払っても、ファイルへのアクセスを取り戻せる保障はないからです。