2014年1月30日
株式会社Doctor Web Pacific
Doctor Webは、Androidを狙った危険なトロイの木馬についてユーザーの皆様に警告します。このトロイの木馬は感染したデバイスのメモリ内に潜み、OS起動の早い段階で自身を起動させてブートキットとして動作します。このことが、トロイの木馬がデバイスのファイルシステムを改変する前に削除される可能性を非常に低くしています。現時点で、スペイン、イタリア、ドイツ、ロシア、ブラジル、アメリカ、および東南アジア数か国を含む様々な国で35万台のモバイルデバイスが感染しています。
Android.Oldboot.1としてDr.Webウイルスデータベースに追加されたこのトロイの木馬を拡散させるために、犯罪者は珍しい手法を用いています。トロイの木馬のコンポーネントの1つをファイルシステムのブートセクター内に置き、OSコンポーネントを起動するためのinitスクリプトを改変するというものです。モバイルデバイスが起動されると、このスクリプトによって悪意のあるLinuxライブラリ
imei_chk(Dr.Web Anti-virusによって
Android.Oldboot.1として検出されます)が起動され、この
imei_chkが
libgooglekernel.so (
Android.Oldboot.2)ファイルと
GoogleKernel.apk(
Android.Oldboot.1.origin)ファイルを抜き取り、それぞれ
/system/libおよび
/system/appに置きます。こうして、トロイの木馬
Android.Oldbootの一部がAndroidアプリケーションとしてインストールされてシステムサービスとして動作し、その後、
libgooglekernel.soライブラリを使用してリモートサーバーに接続し、様々なコマンド(特定のアプリケーションをダウンロード・インストール・削除するなど)を受け取ります。犯罪者は、トロイの木馬の動作に必要なルーチンを含むよう改変したファームウェアをデバイス上にインストールしていると考えられます。
このマルウェアが危険であるとされる理由は、モバイルデバイスの起動後にインストールされたAndroid.Oldbootが削除された場合でも、コンポーネントimei_chkはメモリ内に残り、デバイスが次に起動されると再びマルウェアをインストールしてシステムを感染させるという点にあります。
Doctor Webのウイルスアナリストによって収集された統計によると、このマルウェアは現時点で、スペイン、イタリア、ドイツ、ロシア、ブラジル、アメリカ、および東南アジア数か国を含む様々な国で35万台のモバイルデバイスを感染させていますが、そのほとんど(92%)が中国のデバイスとなっています。Android.Oldbootが特に中国のAndroidデバイスを標的として作られたものであることが分かります。
以下の図は感染したデバイスの国別分布を表しています。
感染を防ぐため、ユーザーの皆様には、疑わしい販売元からデバイスを購入したり信頼できないソースから取得したOSイメージを使用したりすることのないよう推奨します。
![[VK]](http://st.drweb.co.jp/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.co.jp/static/new-www/social/no_radius/twitter.png)
![[facebook]](http://st.drweb.co.jp/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments