2014年10月31日

株式会社Doctor Web Pacific

Doctor Webは、Androidデバイスを感染させ、堅固なセルフプロテクション機能を備えた悪意のあるダイアラープログラムの発見についてユーザーの皆様に警告します。ユーザーの承諾を得ずに高額な番号に通話を発信する悪意のあるプログラムは決して新しいものではありません。モデムを使用した比較的速度の遅いダイアルアップ接続が主流であった時代から存在し、後にモバイルデバイスを標的とするようになりました。その主な目的はある特定の番号（多くの場合アダルトサービス）に対して通話を発信し、その料金をユーザーのアカウントから引き出すというものです。このようなマルウェアは現在ではさほど多く見られなくなっていますが、違法な利益を得るために使用されることがままあります。

Android.Dialer.7.originという名前でDr.Webウイルスデータベースに追加された新たなトロイの木馬は、高額な番号に通話を発信する典型的な悪意のあるダイアラーです。このマルウェアはアダルトアプリケーションを装って拡散され、インストールされるとアイコンや名前の無いショートカットをホーム画面に作成します。これにより、インストールは失敗したとユーザーに思い込ませます。さらに、起動されたAndroid.Dialer.7.originはリクエストされたサービスへのアクセスエラーに関するメッセージを表示させる場合もあり、その後、ショートカットを削除することで自身の痕跡を隠し、システムサービスとして動作します。サービスはショートカットからの起動に加えてシステムの再起動時にAndroid.Dialer.7.originによって自動で起動され、ユーザーによる操作を必要とせずに悪意のある動作を開始します。

Android.Dialer.7.originによって起動されたサービスは、ダイアラーの設定内に保存されている番号803402470に対して定期的に通話を発信します。犯罪者はC&Cサーバーからコマンドを送ることで必要に応じて発信先の番号を変更することができ、この柔軟性が複数の課金サービスから同時に利益を得ることを可能にしています。

このダイアラーは発信時にモバイルデバイスのイヤーピースを無効にし、システムログおよび通話リストを削除することで、ユーザーによる発見を防いでいます。

しかしAndroid.Dialer.7.originの突出した機能は、感染したモバイルデバイスからこのトロイの木馬を削除しようとするユーザーの試みに抵抗することができるという点にあります。アプリケーション設定を管理するためのシステムセクションを開こうとする度に、ユーザーはAndroid.Dialer.7.originによってホーム画面へとリダレクトされます。その結果、マルウェアを手動で削除することはほとんど不可能となります。

Android.Dialer.7.originはDr.Webアンチウイルスによって検出、削除されます。そのため、Dr.Web for AndroidやDr.Web for Android Lightによって保護されているデバイスに対してこの脅威が危害を与えることはありません。Android.Dialer.7.originを削除できない場合はビルトインの緊急ロック解除機能を使用し、その後スキャンおよび修復手順を繰り返してください。