「Koler」：「警察」に偽装するモバイルランサムウェア

ウイルス定義

脅威カテゴリ：ランサムウェア（身代金要求型ウイルス）

別名：Trojan.AndroidOS.Koler.a.

「Koler」とは

「Koler」は不正な活動の一部に潜んでいるウイルスで、2014年4月に世界中で感染が広がったAndroid端末を標的とする「警察」に偽装したランサムウェアです。このウイルスには、ブラウザーを利用する複数のランサムウェアとぜい弱性攻撃ツール（エクスプロイトキット）が含まれます。攻撃で使われるエクスプロイトキットは、ユーザーのシステム情報をスキャンし、ユーザーの場所や端末の種類（PCまたはモバイル端末）の違いによりランサムウェアを変化させるという独特の手口を利用します。

「Koler」のサイバー攻撃者が罠を仕掛けた48のアダルトサイトにユーザーがアクセスすると、次のステップの転送機能が開始します。アダルトサイトのネットワークが悪用されるのは単なる偶然ではなく、ユーザーがこのようなコンテンツを閲覧することに後ろめたさを感じることが多く、「警察」を装ったサイバー犯罪者から申し立てられると、罰金を支払う可能性が高くなるためです。

モバイルユーザーの場合、7月23日以降、サイバー犯罪者の攻撃活動を制御するモバイルコンポーネントに混乱が生じた結果、コマンド&コントロール（C&C）サーバーから被害にあったユーザーのモバイル端末に「アンインストール」コマンドの送信が開始されたため、悪意のあるアプリは事実上削除されています。ただし、PCユーザーに対するエクスプロイトキットなどの悪意のあるコンポーネントは依然として活動しています。

「Koler」の仕組み

ユーザーは48のアダルトサイトからKeitaroトラフィック流通システム（TDS）が動作するハブに転送され、その後さらに別のサイトに転送されます。この2回目の転送の後、特定の条件の違いにより以下の3通りの被害に分けられます。

「Koler」モバイルランサムウェアのインストール
モバイル端末を使用している場合、ユーザーはWebサイトから強制的に不正アプリに転送されます。このアプリの名前はanimalporn.apkですが、実はこれが「Koler」ランサムウェアです。ただし、アプリをダウンロードしてインストールを実行するにはユーザーが許可する必要があります。端末がこのアプリに感染すると画面がブロックされ、ロック解除と引き換えに100～300ドルの金銭を要求されます。この「警察」を装った金銭要求のメッセージは現地の言葉で表示され、本物と見間違えるほどリアルです。
いずれかのブラウザー上で、ランサムウェアサイトへ転送
特殊な制御プログラムによって
①ユーザーエージェントが攻撃対象国の30か国のいずれかであり
② Androidユーザーではなく、
③ リクエストにInternet Explorerのユーザーエージェントが含まれていないか
を確認されます。上述の3つの項目すべてに該当する場合、ユーザーはモバイル端末と同様に画面がブロックされます。この場合は感染ではなく、単にブロックしたという定型メッセージのポップアップが表示されますが、AltキーとF4キーを同時に押すと、このブロックを簡単に回避できます。
Internet Explorerを使用している場合
Internet Explorerを使用している場合、この攻撃活動の転送機能により、ユーザーはSilverlight、Adobe Flash、Javaを悪用するAngler Exploit Kitが仕込まれたサイトに転送されます。カスペルスキーの分析では、不正なコードは機能していますがデータ転送は実行されていませんでした。ただし、近い将来、動作が変更される可能性もあります。