2014年11月18日

株式会社Doctor Web Pacific

Doctor Webは、Androidデバイスのファームウェアに埋め込まれた新たなトロイの木馬を発見しました。 Android.Becu.1.originと名付けられたこの悪意のあるプログラムは多数のAndroidデバイス上で発見され、ユーザーの承諾無しにプログラムをダウンロード、インストール、削除するほか、特定の番号から受信するSMSをブロックする機能を備えています。

このマルウェアは、相互に連携する複数のモジュールで構成されています。 Android.Becu.1.originのメインモジュールであるCube_CJIA01.apkファイルはシステムディレクトリ内に置かれ、ユーザーの許可なしにあらゆる動作を行う権限を持つようOSによるデジタル署名が付加されています。また、ファームウェアに埋め込まれているということが、従来の方法によるこのプログラムの削除を非常に難しくしています。

Android.Becu.1.originは感染したデバイスが起動されるか、または新しいSMSを受信する度に悪意のある動作を開始し、暗号化されたパッケージを設定ファイルに従ってリモートサーバーからダウンロードします。復号化された後、データはuac.apkファイルとしてマルウェアのインストールディレクトリ内に保存されます。デバイスメモリ内へのデータのロードにはDexClassLoaderが使用され、続けてAndroid.Becu.1.originは同じディレクトリ内に保存された2つ目のモジュールであるuac.dexを起動させます。これら2つのモジュールはメインペイロードを持ち、リモートサーバーからのコマンドに従ってアプリケーションを密かにダウンロード、インストール、削除します。

モジュールの起動に成功すると、Android.Becu.1.originはcom.zgs.ga.packファイル内に含まれる3つ目のモジュールがシステム内に存在するかどうかを確認し、見つからなかった場合はデバイス上にダウンロード、インストールします。次に、自身のアクティブなコピーに関する情報を送信することでリモートサーバーにスマートフォンやタブレットを登録します。モジュールのいずれかがユーザーによって削除されると、マルウェアのメインファイルを使用することで再インストールされます。

プログラムを密かにインストールまたは削除するという主要なタスクの他に、Android.Becu.1.originは特定の番号から受信するSMSを全てブロックするという機能を備えています。

Doctor Webのセキュリティリサーチャーによると、この脅威は現時点でUBTEL U8、H9001、World Phone 4、X3s、M900、Star N8000、ALPS H9500を含むポピュラーなAndroidデバイス上で確認されています。Android.Becu.1.originに感染したファームウェアはユーザー自身によってダウンロードされる場合と、犯罪に加担するスマートフォンやタブレットのサプライヤーによってインストールされる場合があります。

Android.Becu.1.originは直接OS内に埋め込まれていることから従来の方法による完全な削除は非常に困難であり、アプリケーション管理メニューでトロイの木馬を「フリーズ」させる手法が最も簡単かつ安全な対処方法となります。その手順として、まずインストールされたプログラムのリストからトロイの木馬のメインファイル（com.cube.activityパッケージ）を探し、「無効にする」をタップしてください。その結果、Android.Becu.1.originは動作を継続することができなくなります。その後、インストールされている可能性のあるその他のモジュール（com.system.outapiおよびcom.zgs.ga.packパッケージ）を削除してください。

ルートアクセスを有効化してトロイの木馬のメインモジュールをデバイス上から手動で削除する、または感染していないファームウェアでデバイスをリフラッシュする（保存されているデータは失われます）ことでAndroid.Becu.1.originを削除する方法もあります。ただし、これらの方法はデバイスにダメージを与える危険性があるため、重要なデータのバックアップを作成したうえで、上級ユーザーが自己責任において行うようにしてください。

この脅威はDr.Web Anti-virus for AndroidおよびDr.Web for Android Lightによって検出されます。ユーザーの方はデバイスのフルスキャンを行うことを推奨します。