ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
News

カテゴリ別のニュース

ウィルスアラート
インフォーマー
プレスセンター

ニュース一覧に戻る

Androidシステムプロセスを感染させるトロイの木馬

2016年2月5日

株式会社Doctor Web Pacific


Androidを標的とする悪意のあるプログラムの構造は日に日に複雑化しています。初期に登場したトロイの木馬は比較的単純な構造を持っていましたが、現在ではWindows向けトロイの木馬に匹敵するものとなっています。この2月にはAndroidを標的とする多機能な悪意のあるプログラムのパックがDoctor Webスペシャリストによって発見されました。

パックはAndroid.Loki.1.originAndroid.Loki.2.originAndroid.Loki.3と名付けられた連携して動作する3つのトロイの木馬で構成されています。Android.Loki.1.originはDr.Web for AndroidによってAndroid.Loki.6として検出されるliblokih.soライブラリを使用して起動され、このライブラリはAndroid.Loki.3によってシステムプロセスの1つに組み込まれます。こうしてAndroid.Loki.1.originはシステム権限を取得します。Android.Loki.1.originは幅広い機能を実行するサービスで、例えば、収益を得ることを目的としたアフィリエイトプログラムのユーザーアカウントを示す特別なリンクを使用して、Google Playからあらゆるアプリケーションをダウンロードすることができます。そのほか、Android.Loki.1.originは以下の動作を実行することが可能です。

  • アプリケーションをダウンロード・削除する
  • アプリケーションおよびそのコンポーネントを有効または無効にする
  • プロセスを終了する
  • 通知を表示させる
  • あらゆるアプリケーションをAccessibility Serviceアプリケーションとして登録する
  • 自身のコンポーネントをアップデートし、プラグインをサーバーからダウンロードする

2つ目のコンポーネントであるAndroid.Loki.2.originは感染させたデバイス上に様々なアプリケーションをインストールし、広告を表示させます。また、以下の情報を収集して送信するスパイウェアとしても動作します。

  • IMEI
  • IMSI
  • MACアドレス
  • MCC(Mobile Country Code:国識別コード)
  • MNC(Mobile Network Code:事業者識別コード)
  • OSのバージョン
  • 画像解像度
  • デバイス上のRAM の合計容量・空き容量
  • OSカーネルのバージョン
  • デバイスモデル
  • デバイスメーカー
  • ファームウェアのバージョン
  • デバイスのシリアル番号

情報がサーバーへ送信されると、トロイの木馬はその動作に必要な設定ファイルを受け取ります。Android.Loki.2.originは指定された間隔でサーバーに接続して指示を受け取り、以下の情報を送信します。

  • 設定ファイルのバージョン
  • Android.Loki.1.originによって実行されたサービスのバージョン
  • 現在のシステム言語
  • ユーザーによって作成されたGoogleアカウントに関する情報

その応答としてAndroid.Loki.2.originは、Google Playからダウンロード可能なアプリケーションをインストールするコマンド、または広告を表示させるコマンドのいずれかを受け取ります。トロイの木馬によって表示された通知をタップしてしまったユーザーは特定のWebサイトへとリダレクトされるか、またはソフトウェアをインストールするよう促されます。Android.Loki.2.originはサイバー犯罪者から受け取ったコマンドに応じて以下に関する情報を送信します。

  • インストールされているアプリケーションの一覧
  • ブラウザの履歴
  • 連絡先一覧
  • 通話履歴
  • 現在の位置

3つ目のコンポーネントであるAndroid.Loki.3liblokih.so ライブラリをsystem_server プロセス内に組み込み、Android.Lokiファミリーに属するその他のトロイの木馬から受け取ったコマンドをルート権限で実行します。実際のところ、Android.Loki.3はシェルスクリプトを実行するサーバーとして動作します。すなわち、トロイの木馬はサイバー犯罪者から実行するスクリプトへのパスを受け取り、Android.Loki.3がそのスクリプトを実行します。

Android.Lokiトロイの木馬は、そのコンポーネントのいくつかをDr.WebのアクセスできないAndroidシステムフォルダ内に保存します。そのため、感染の影響を取り除くにはOSのオリジナルイメージを使用してデバイスをリフラッシュする必要があります。この動作を実行する前には、デバイス上に保存された重要な情報全てのバックアップコピーを作成するようにしてください。また、経験の浅いユーザーは専門家の指示を仰ぐことを推奨します。

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments