ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
News

カテゴリ別のニュース

ウィルスアラート
インフォーマー
プレスセンター

ニュース一覧に戻る

Dr.Web : Androidデバイスにプリインストールされたアプリケーションのプロセス を感染させ、悪意のあるモジュールをダウンロードするトロイの木馬

2017年7月27日

株式会社Doctor Web Pacific


Androidデバイスの複数のモデルのファームウェアに悪意のあるプログラムが組み込まれていることが、Doctor Webのウイルスアナリストによって発見されました。 Android.Triada.231 と名付けられたこのトロイの木馬はシステムライブラリの1つに埋め込まれていました。 Android.Triada.231 は動作中のすべてのアプリケーションに侵入し、追加のモジュールを密かにダウンロード・起動することができます。

Android.Triadaファミリーに属する他のトロイの木馬は悪意のある動作を実行するためにルート権限の取得を試みますが、 Android.Triada.231 はそれらトロイの木馬とは異なり、 libandroid_runtime.so システムライブラリ内に埋め込まれています。 Leagoo M5 Plus、 Leagoo M8、 Nomu S10、 Nomu S20を含む複数のモバイルデバイスで Android.Triada.231 の改変されたバージョンが発見されています。 libandroid_runtime.so はすべてのAndroidアプリケーションによって使用されるため、感染したシステム上で実行中のすべてのアプリケーションのメモリ内で悪意のあるコードが見つかります。

Android.Triada.231 はライブラリのソースコード内に埋め込まれています。このことから、トロイの木馬は感染したモバイルデバイスのファームウェア製造に関わっていた内部者や悪徳な提携企業によって拡散されたものと推測されます。

libandroid_runtime.so 内に埋め込まれていることから、 Android.Triada.231 はデバイス上のアプリケーションがシステムログに記録を行うたびにコントロールを掌握すると言うことができます。アプリケーション起動の前に Zygote が起動されるため、トロイの木馬の初回起動も Zygote によって実行されます。

screenshot Android.Triada.231 #drweb

初期化の後、この悪意のあるプログラムはいくつかのパラメータを設定し、作業ディレクトリを作成します。次に自身の実行環境を確認し、Dalvik環境であった場合はシステムメソッドの1つを横取りします。これにより、すべてのアプリケーションの起動を追跡し、それらの起動後直ちに悪意のある動作を開始することが可能になります。

Android.Triada.231 の主要な機能は、トロイの木馬の他のコンポーネントをダウンロードする悪意のある追加のモジュールを密かに起動させることです。そのために、 Android.Triada.231 は作成しておいた作業ディレクトリ内に特別なサブディレクトリがあるかどうかを確認します。サブディレクトリの名前には、プロセス内にトロイの木馬が侵入したアプリケーションの、ソフトウェアパッケージ名のMD5値が含まれています。そのようなサブディレクトリを見つけると、 Android.Triada.231 は次に、そこに含まれている 32.mmd または 64.mmd ファイル (それぞれ32ビット版および64ビット版OS) を探します。ファイルを見つけると、それを復号化して libcnfgp.so として保存し、システムメソッドの1つを使用してRAM内にロードします。続けて、復号化したファイルをデバイスから削除します。必要なオブジェクトが見つからなかった場合、 Android.Triada.231 は 36.jmd ファイルを探し、復号化して mms-core.jar として保存した後、クラスローダ DexClassLoader を使用して起動し、作成したコピーを削除します。

その結果として、 Android.Triada.231 はトロイの木馬の様々なモジュールをあらゆるアプリケーションのプロセスに侵入させ、それらの動作に影響を及ぼすことができます。例えば、ウイルス作成者は銀行のアプリケーションから機密情報を盗むためやサイバースパイモジュール用に、またはソーシャルメディアクライアントやメッセンジャーでのやり取りを横取りする目的で、悪意のあるプラグインをダウンロード・起動するトロイの木馬を作ることが可能です。

また、 Android.Triada.231 は libandroid_runtime.so からモジュール Android.Triada.194.origin を抽出することができます。 Android.Triada.194.origin は暗号化された形でライブラリ内に保存されています。その主な機能は、インターネットから悪意のある追加のコンポーネントをダウンロードし、それらのコンポーネントが相互に連携するようにすることです。

Android.Triada.231 はOSのライブラリの1つに埋め込まれ、システムセクション内に存在することから、標準的な方法では削除することができません。このトロイの木馬を削除する安全かつ確実な唯一の方法はクリーンな Android ファームウェアをインストールすることです。Doctor Webでは、この問題について、感染したスマートフォンの製造業者に対して報告を行いました。該当するデバイス向けにアップデートがリリースされると考えられます。ユーザーの皆様は、それらをすべてインストールするようにしてください。

Android.Triada.231の詳細(英語)

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments