2015年9月28日

株式会社Doctor Web Pacific

Androidモバイルデバイスを感染させるため、多くの場合、サイバー犯罪者は比較的平凡なルーチンを使用しています。ソーシャルエンジニアリング手法を用いて被害者自身の手で悪意のあるアプリケーションをインストールさせるというものです。しかしながら、ウイルス開発者によって利用される手法はこれだけではありません。Doctor Webでは、モバイルデバイス内にプリインストールされ、ユーザーに気づかれずに悪意のある動作を実行するAndroidトロイの木馬が継続的に発見されています。今回、そのようなバックドアであるAndroid.Backdoor.114.originが発見されました。

Android.Backdoor.114.originは、1年以上前からDoctor Webアナリストの間でその名を知られ、その登場以来、Androidユーザーにとって大きな脅威となっています。モバイルデバイスのファームウェア内に直接組み込まれることから、通常のツールを使用してこのトロイの木馬を削除することはほとんど不可能となっています。マルウェアを削除するためにユーザーはルート権限を取得する必要がありますが、その取得は非常に難しいだけでなく危険を伴う場合もあります。OSを再インストールするという方法もありますが、これによりバックアップを作成していない全てのデータが失われる可能性があります。

9月の中旬、Android.Backdoor.114.originによる新たな感染がDoctor Webセキュリティリサーチャーによって発見されました。被害を受けたのはOysters T104 HVi 3Gのユーザーで、マルウェアはプリインストールされたGoogleQuickSearchBox.apkアプリケーションに潜んでいました。メーカーではこの問題について既に通知を行っていますが、現時点で、ダウンロード可能な公式ファームウェアには未だバックドアが含まれています。

Android.Backdoor.114.originは感染させたデバイスに関する情報を収集し、C&Cサーバーへ送信します。送信されるデータは亜種によって異なり、以下のものがあります：

• 感染させたデバイスのユニークな識別子
• BluetoothアダプタのMACアドレス
• 感染させたデバイスの種類（スマートフォンまたはタブレット）
• 設定ファイルのパラメータ
• MACアドレス
• IMSI
• 悪意のあるアプリケーションのバージョン
• OSバージョン
• デバイスのAPIバージョン
• ネットワーク接続の種類
• アプリケーションパッケージ名
• 国のID
• スクリーン解像度
• デバイスのメーカー
• モデル名
• SDカードの使用済み容量
• SDカードの空き容量
• 内部メモリの使用済み容量
• 内部メモリの空き容量
• システムフォルダ内にインストールされているアプリケーションのリスト
• ユーザーによってインストールされたアプリケーションのリスト

ただし、Android.Backdoor.114.originの主な目的はC&Cサーバーからのコマンドに応じてアプリケーションをダウンロード、インストール、削除することにあります。また、このトロイの木馬は無効になっているオプションを有効化することで、信頼できないソースからのアプリケーションのインストールを可能にします。ユーザーが推奨されるセキュリティルールを守っている場合であっても、該当する設定を変更することで様々なアドウェアや望まないアプリケーション、危険なアプリケーションをインストールしてしまうのです。

Doctor WebではAndroidユーザーに対し、既知のマルウェアを検出するために定期的なデバイスのアンチウイルススキャンを行うことを推奨しています。ファームウェアに組み込まれたトロイの木馬やその他の悪意のあるプログラムが検出された場合、デバイスのメーカーに連絡し、アップデートされたOSイメージを入手することを推奨します。このようなマルウェアはビルトインツール（アンチウイルスソフトウェアを含む）を使用して削除することが不可能である場合がほとんどです。