ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
News

カテゴリ別のニュース

ウィルスアラート
インフォーマー
プレスセンター

ニュース一覧に戻る

ルートアクセス付きAndroidデバイスを狙う新たなトロイの木馬

2012年5月11日掲載

株式会社Doctor Web Pacific


Doctor Webは、Android OSを標的とした新たな悪意のあるプログラムの出現について警告します。被害を受けたのは、昇格された権限を持ったシステムを使用するモバイルデバイスのユーザーです。

この新しいトロイの木馬は、ソフトウェアを配信するポピュラーなサイトを介して公式アプリケーションと一緒に拡散されます。「マトリョーシカ人形」方式を採用しており、改変されたアプリケーション(Dr.WebによってAndroid.MulDrop.origin.3として検出されました)の中に、暗号化された別のプログラムパッケージ(apkファイル)が含まれています。つまり、最初のアプリケーションはドロッパー-他の悪意のあるプログラムを配信するためのコンテナなのです。

ここで重要なのは、トロイの木馬の製作者は、システムユーティリティやコンフィギュレーターなど特定の種類のアプリケーションをドロッパーとして使用するという点です。それらのアプリケーションの動作には管理者権限が必要であるため、起動後にルートアクセスを要求されてもユーザーが不審に思う事がないというのがその理由です。

screen

必要な権限の取得に成功すると、Android.MulDrop.origin.3は含んでいたapkファイルを復号化してシステムディレクトリ内に置きます(ComAndroidSetting.apkという名前で/system/app/に)。驚くべきことに、Android.MulDrop.origin.4として既にウイルスデータベースに加えられていたアプリケーションもまたドロッパーであり、Android.MulDrop.origin.3同様、暗号化されたapkパッケージを含んでいます。トロイの木馬は次のシステム起動後にアクティベート化され、中に潜んでいたプログラムパッケージを復号化・インストールしますが、このプログラムパッケージはAndroid.DownLoader.origin.2として検出されたトロイの木馬ダウンローダーです。

Android.DownLoader.origin.2は自動実行機能も備えており、システムの起動後にリモートサーバーに接続して、ダウンロード・インストールするアプリケーションのリストを受け取ります。リストの内容は、犯罪者の着想および目的に応じて、悪意のあるソフトウェアであったりまたは害のないアプリケーションであったりと様々です。

2012年4月28日に、Doctor Webのスペシャリストは別のバージョンのドロッパーを発見しました。Android.DownLoader.origin.2は、Android.MulDrop.origin.3と同様ソフトウェアを配信するサイトを介して拡散されますが、その動作には若干の違いが見られます。このトロイの木馬は起動されると、中に含まれている暗号化されたapkファイルを予め復号化したうえでメモリーカード上に置きます。同時にパネルには、「Android Patch 8.2.3」というフレーズを含んだ通知メッセージが表示されます。ユーザーがメッセージをクリックするとインストールの手順が開始されますが、ドロッパー開発者の不手際による、必要なパッケージをメモリーカードに書き込めないというエラーが原因となりインストールは完了されません。

screen

screen

トロイの木馬製作者がこのようなミスを犯さなければ、システム内にはトロイの木馬ダウンローダーAndroid.DownLoader.origin.1がインストールされ、モバイルデバイスを起動する度に自動実行されたことでしょう。このダウンローダーはリモートサーバーに接続し、システムにダウンロード・インストールするアプリケーションのリストを含んだxmlファイルを受け取ります。モディフィケーションの加えられていないデバイス上では、この動作にはユーザーの操作が求められますが、ルートアクセス付きシステムのユーザーであればなんら疑念を抱くことは無いでしょう。

分析の結果、Android.DownLoader.origin.2Android.MulDrop.origin.3と同じ開発者の手によるものであることが判明しました。Android.DownLoader.origin.2は、犯罪者が彼らのテクノロジーを実行するためのテストプラットフォームであったと考えられます。

Dr.Web for Android Anti-virus + Anti-spamおよび Dr.Web 7.0 for Android Lightによって、これら悪意のあるプログラムからお使いのモバイルデバイスを保護することが可能です。感染の危険性を最小限に食い止める為、Android搭載モバイルデバイスのユーザーはインストールするアプリケーションおよびその配信元に十分注意し、また可能な限り公式のGoogle Play(play.google.com)からダウンロードすることを推奨します。

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments