脅威スキャンを回避するAndroidのランサムウェアが登場 - Symantec

シマンテックは8月25日、Androidを狙うランサムウェア(身代金型ウイルス)が検出をすり抜け解析を回避する手口を同社ブログで解説した。

ランサムウェアの多くは、Androidスマートフォンなどのモバイルデバイスへの攻撃として使われており、セキュリティベンダーが使う静的解析ツールや静的シグネチャシステムによって検出されにくい傾向がある。

同社は、Android.LockdroidとAndroid.Simplockerのマルウェアファミリーを分析。この2つは以前、コードやデータが同じにならないよう意図して亜種を作りながら、画像やアイコンなどのリソースファイルの一部を変更しなかった。その後、変化が定着し始めると、新しい亜種は画像も変えてくるようになった。

新しい亜種は、画像をアプリのパッケージに格納するのをやめて、データURI(Uniform Resource Identifier)スキームで画像を埋め込むようにした。データURIスキームを使うと、まるで外部リソースのようにWebページにインラインでデータを埋め込むことができる。こうすることで、Base64でエンコードされたデータに画像をインラインで保存することができる。