2015年8月27日 15:03
脅威スキャンを回避するAndroidのランサムウェアが登場 - Symantec
○コードの全体で無意味な算術 null 計算を使う
続く手口は使われていない複数のゴミ算術演算を実行するというもの。静的なコード解析にかかる時間を引き延ばすための命令が書かれている。
○DEXファイルを動的に読み込み、データを.apkリソースに格納する
また、比較的最近に出てきた亜種では、メインペイロードのコードが暗号化された1つ以上のDEXファイルとして、アセットフォルダ内に格納されている。実行時にアセットファイルが復号され、DexClassLoaderによって動的に読み込まれ、ペイロードが実行される。
URLその他の文字列データをAndroidパッケージファイル(.apk)のリソースに格納し、実行時にはコードとデータのブリッジ(R.java)を使ってそれにアクセスするという手口もある。特定のデータを.apkリソースに隠すことによって、マルウェアの作成者は解析手法を回避しようとしている。
同社は、ユーザーがランサムウェアからの攻撃からモバイルデバイスを守るために、見たことのないサイトからアプリをダウンロードすることは避け、信頼できるサイトからだけダウンロードするよう呼び掛けている。