2014年11月18日
株式会社Doctor Web Pacific
このマルウェアは、相互に連携する複数のモジュールで構成されています。 Android.Becu.1.originのメインモジュールであるCube_CJIA01.apkファイルはシステムディレクトリ内に置かれ、ユーザーの許可なしにあらゆる動作を行う権限を持つようOSによるデジタル署名が付加されています。また、ファームウェアに埋め込まれているということが、従来の方法によるこのプログラムの削除を非常に難しくしています。
Android.Becu.1.originは感染したデバイスが起動されるか、または新しいSMSを受信する度に悪意のある動作を開始し、暗号化されたパッケージを設定ファイルに従ってリモートサーバーからダウンロードします。復号化された後、データはuac.apkファイルとしてマルウェアのインストールディレクトリ内に保存されます。デバイスメモリ内へのデータのロードにはDexClassLoaderが使用され、続けてAndroid.Becu.1.originは同じディレクトリ内に保存された2つ目のモジュールであるuac.dexを起動させます。これら2つのモジュールはメインペイロードを持ち、リモートサーバーからのコマンドに従ってアプリケーションを密かにダウンロード、インストール、削除します。
モジュールの起動に成功すると、Android.Becu.1.originはcom.zgs.ga.packファイル内に含まれる3つ目のモジュールがシステム内に存在するかどうかを確認し、見つからなかった場合はデバイス上にダウンロード、インストールします。次に、自身のアクティブなコピーに関する情報を送信することでリモートサーバーにスマートフォンやタブレットを登録します。モジュールのいずれかがユーザーによって削除されると、マルウェアのメインファイルを使用することで再インストールされます。
プログラムを密かにインストールまたは削除するという主要なタスクの他に、Android.Becu.1.originは特定の番号から受信するSMSを全てブロックするという機能を備えています。
Doctor Webのセキュリティリサーチャーによると、この脅威は現時点でUBTEL U8、H9001、World Phone 4、X3s、M900、Star N8000、ALPS H9500を含むポピュラーなAndroidデバイス上で確認されています。Android.Becu.1.originに感染したファームウェアはユーザー自身によってダウンロードされる場合と、犯罪に加担するスマートフォンやタブレットのサプライヤーによってインストールされる場合があります。
Android.Becu.1.originは直接OS内に埋め込まれていることから従来の方法による完全な削除は非常に困難であり、アプリケーション管理メニューでトロイの木馬を「フリーズ」させる手法が最も簡単かつ安全な対処方法となります。その手順として、まずインストールされたプログラムのリストからトロイの木馬のメインファイル(com.cube.activityパッケージ)を探し、「無効にする」をタップしてください。その結果、Android.Becu.1.originは動作を継続することができなくなります。その後、インストールされている可能性のあるその他のモジュール(com.system.outapiおよびcom.zgs.ga.packパッケージ)を削除してください。
ルートアクセスを有効化してトロイの木馬のメインモジュールをデバイス上から手動で削除する、または感染していないファームウェアでデバイスをリフラッシュする(保存されているデータは失われます)ことでAndroid.Becu.1.originを削除する方法もあります。ただし、これらの方法はデバイスにダメージを与える危険性があるため、重要なデータのバックアップを作成したうえで、上級ユーザーが自己責任において行うようにしてください。
この脅威はDr.Web Anti-virus for AndroidおよびDr.Web for Android Lightによって検出されます。ユーザーの方はデバイスのフルスキャンを行うことを推奨します。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments