ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
News

カテゴリ別のニュース

ウィルスアラート
インフォーマー
プレスセンター

ニュース一覧に戻る

Doctor Web、Google Playアプリを購入するトロイの木馬を発見

2016年8月4日

株式会社Doctor Web Pacific


今日拡散されている悪意のあるAndroidアプリケーションの中で最も犯罪者に人気のあるのが、迷惑な広告を表示させるトロイの木馬です。これらトロイの木馬には、プログラムをダウンロード・インストールしたり、ユーザーの個人情報を盗んだりする追加の機能を備えたものも存在します。この度Doctor Webスペシャリストによって発見されたそのようなトロイの木馬の1つは、特定の状況下でGoogle Playアプリを購入し、インストールする機能を備えていました。

Android.Slicer.1.origin と名付けられたこのトロイの木馬は、通常、他のマルウェアによってデバイス上にインストールされ、人気のあるサービスのユーティリティやSEOソフトウェアに特有の機能を実行します。中でも特に、 Android.Slicer.1.origin はRAMの使用量情報を表示させ、動作中のアプリケーションを終了させることができます。また、BluetoothやWi-Fiモジュールを有効化・無効化することが可能です。このトロイの木馬は画面上にショートカットを作成しないため、ユーザーは該当するアプリケーションを個別に起動させることができません。

screen #drweb screen #drweb screen #drweb

Android.Slicer.1.origin は一見したところ無害なアプリケーションのように見えますが、典型的なアドウェアの動作を実行します。すなわち、 Android.Slicer.1.origin が起動されると、またはホーム画面がオン/オフされるかWi-Fiモジュールが無効化されると、トロイの木馬によって、感染したデバイスのIMEI番号、Wi-FiアダプターのMACアドレス、デバイスメーカー名、OSバージョンに関する情報がC&Cサーバーへ送信されます。その応答として、C&Cサーバーから以下の指示が返されます:

  • ショートカットをホーム画面に作成する
  • 広告を表示させる
  • ブラウザまたはGoogle Playアプリケーション内で広告Webページを開く

screen #drweb screen #drweb

そのうえ、 Android.Slicer.1.origin は有料のものを含む特定のアプリケーションをインストールする機能を備えています。その際、 Android.Slicer.1.origin は管理者権限を取得するために使用されるSUユーティリティに類似した Android.Rootkit.40 と呼ばれる別のトロイの木馬を使用します。 Android.Rootkit.40 が/system/bin内に存在する場合、 Android.Slicer.1.origin は自動的にGoogle Playアプリを購入し、インストールすることが可能です。

そのために、 Android.Slicer.1.origin は指定されたアプリケーションのセクションを開き、 Android.Rootkit.40 の管理者権限を使用して標準的なuiautomatorユーティリティを起動させます。その結果、トロイの木馬はその時点で画面上に表示されている全てのウィンドウとインターフェースの項目に関する情報を取得することができるようになります。次に、 Android.Slicer.1.origin はcom.android.vending:id/buy_button(「購入」および「インストール」ボタン)およびcom.android.vending:id/continue_button(「次へ」ボタン)の識別子を持つボタンに関する情報を検索し、それらボタンとボタンの中間の位置を割り出します。そしてボタンのタップを開始し、それらが画面上から消えるまでタップし続けます。このように、 Android.Slicer.1.origin は犯罪者のコマンドに従って、ユーザーに気付かれることなく、アプリケーションのほぼ全ての有料バージョンを自動的に購入し、無料バージョンをダウンロードすることが可能です。

ただし、密かにアプリケーションを購入・インストールする Android.Slicer.1.origin の機能は限られています。第一に、 Android.Slicer.1.origin の使用するボタンの識別子はAndroid 4.3以降のものである必要があります。第二に、 Android.Rootkit.40 はSELinuxが有効になっているデバイス上、すなわちAndroid 4.4以降では動作することができません。したがって、 Android.Slicer.1.origin がアプリケーションを購入・インストールすることができるのは、感染したデバイスがAndroid 4.3を搭載している場合に限られます。

Dr.Web for Androidは Android.Slicer.1.origin を検出・削除することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments