2013年6月11日

株式会社Doctor Web Pacific

Doctor Webは、韓国のAndroidユーザーを狙った、悪意のあるプログラムAndroid.Tempur.1.originについてユーザーの皆様に警告します。このトロイの木馬は、銀行口座に関する詳細を含む機密情報や、受信したSMS、通話に関する情報を盗み、さらに、有料のプレミアム番号に対してSMSを送信する機能を持っています。

Android.Tempur.1.originは、5月に情報セキュリティエキスパートによって発見され、その主な機能として、韓国の様々な金融機関から顧客情報を盗むよう設計されたトロイの木馬です。Android.Tempur.1.originの収集する情報は、その亜種バージョンによって異なり、ユーザー名と個人ID、社会保障番号、アカウントパスワード、バンクアカウント、携帯電話番号などが含まれます。

現在までによく知られている、このトロイの木馬の拡散方法の1つに、Android.Tempur.1.originの複数の異なる亜種を中に含んだ特別な悪意のあるプログラムの使用が挙げられます。それらの1つ1つが、韓国の銀行の公式バンキングアプリケーションを模倣しています。偽のSMSメッセージに含まれる、「ドロッパー」のapk-packageをダウンロードするためのリンクによって、ユーザーはcect [xxx]. comドメインへ誘導されます。

Android.MulDrop.8.originとしてDr.Webウイルスデータベースに追加されたこのマルウェア・キャリアーは、Android.Tempur.1.originの特定の亜種をインストールする前に、モバイルデバイス上に公式バンキングアプリケーションが既に存在していないかどうかを確認し、見つかった場合はそのアンインストールを試みるという特徴を持っています。モバイルデバイスがroot権限を持っていた場合、「ドロッパー」は特別なコマンドを使用して、検出された公式バンキングアプリケーションのパラメータを変更し、ユーザーの許可なしにそのアンインストールを実行します。root権限を持っていない場合は、該当するダイアログウィンドウの表示による標準的な手順でアンインストールが行われます。これらの公式バンキングアプリケーションをアンインストールした後、トロイの木馬は偽のコピーのインストールを試みます。

Android.Tempur.1.originの既知の亜種は、起動に成功すると公式バンキングアプリケーションを模倣したインターフェースを表示させ、ユーザーに対してアカウントや個人情報の入力を要求します。こうして入手した情報はサイバー犯罪者に送信されます。Android.Tempur.1.originの持つもう1つの危険な機能は、受信するSMSを傍受し、その情報を犯罪者のサーバーへ送信することです。この機能は、銀行と顧客間の取引で使用されるワンタイムパスワードであるmTANコードの詐取や、個人的な通信から重要な情報を傍受するために使用されます。

さらに、このマルウェアは犯罪者のサーバーから必要なパラメータを受け取り、通話のトラッキングや、有料番号へのSMS送信を実行することが出来ます。

この脅威の解析中に、他のバージョンと同じ機能を持った、Android.Tempur.1.originの新たな亜種がDoctor Webのスペシャリストによって発見されました。ただし、この新たな亜種では配信方法が変更されています。トロイの木馬のapkファイルは犯罪者のリモートサーバーから直接ダウンロードされ、補助的な「ドロッパー」は使用されなくなりました。Android.Tempur.1.originのダウンロード元となる、犯罪者のwebサーバーアドレスは、現在korea [xxxx].comとなっています。

このトロイの木馬はユーザーの機密情報、中でも特に銀行口座に関する詳細を犯罪者が入手し、後に恐喝や金銭の詐取に使用することを可能にしてしまうため、非常に危険な脅威であると言えます。受信SMSや通話に関する情報などの個人情報も、あらゆる種類の詐欺に利用される可能性があります。

これらの悪意のあるプログラムはOrigins Tracing™テクノロジーによって検出されるため、Dr.Web for Androidのユーザーに危害を与えることはありません。