- 本文はフォーティネット セキュリティ ブログの抄訳です。
執筆者:Axelle Apvrille
2014年2月16日
先週、Android端末を標的とするドライブバイダウンロードの新たな不正サンプルを発見しました。このサンプルはスペインの新聞社の正規ウェブサイトを訪問すると自動で、つまりユーザーの同意なしで端末にダウンロードされると報告されています。ですから(何も知らずに)ニュース記事を読んでいる間に、マルウェアを端末に押し付けられるということになります。端末に自動的にインストールされるわけではないのですが、JavaScripのポップアップウィンドウが開き、「アプリマネージャー」をアップデートするように、つまりダウンロードされたパッケージをインストールするように言われます。
当ラボではこのマルウェアをAndroid/DriveGenie.A!trと名づけました。これは電話のアプリや写真、動画を遠隔で管理するための本物の携帯電話マネージャーです。このアプリは携帯電話用の新しいアプリや着信音、動画を探すことのできるサードパーティのマーケットプレイスのように見えますね。
Android/DriveGenie.A!trは正規のマーケットプレイスのように見えますが、その動作は決して無害ではありません。
待って!「本物」のアプリですよね?それなら、なぜマルウェアとして検出されているの?
いくつか理由があります。
- ドライブバイダウンロード:このアプリは端末に強引に押し付けられます。これは本当に最悪です。
- 漏出:端末にインストールされているすべてのアプリケーションのリストとMACアドレスがアプリ開発者のサーバーに送信されます。この情報はクリアテキストで送信されます(下のスクリーンショットをご覧ください)。
この感染した電話は、アプリのリストとそのバージョンをレポートしています。これはマルウェアが起動するとすぐに送信されます。
- セキュリティリスク:コードを見ると、このマルウェアはファイルをダウンロードし、そこに実行可能ファイルをセットします。これは怪しいですし、危険です。アプリケーションをインストールする際にはそのファイル上に実行可能ファイルをセットする必要はないため、怪しいと言えます。そして、これは端末上でリモートコードを実行する最適な方法だから危険なのです!
ダウンロードされたファイル上に読み込み、書き込み、実行のパーミッションをセットする方法をAndroguardで逆コンパイルしてみました。要するにこれは「本物のアプリケーション」ですが、望んでもいないのにダウンロードされ、承諾を得ずに端末上の情報を回収し、知らないうちに遠隔でコードを実行できるような状態にしてしまうものです。優れたトロイの木馬のようですよね? そのようなデベロッパーを信用しますか?
実際、すでにウェブ上で苦情を述べているエンドユーザーもいます。スパムだと不平を言っている人もいますし、アップデートが同意なしで行われたと言っている人もいます。
Google Playでのエンドユーザーの苦情
XDAフォーラムでのエンドユーザーの苦情
正直、削除したほうが良いですね。
- the Crypto Girl
一部APKファイルのSHA256:
6f173694712a23bffd19cdeda7bb8e1ee14f8f36348074d9eba24d0c9227022c
f2120c19ec2fa5cc420f3603ca042d18a612d9bc9cdb0eeb48e5fa4c062b68f9
8b48b81cc0030d34bed1398190ea1cab5a1711cc884661cd022e1293599feb97
9517e837f7c75f26a5c75e055cd10cb01e4518263be3e49e0fc9b47c9400df5a
SECURED BY FORTIGUARD