2016年11月10日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストによって、 Android.MulDrop.924 と名付けられた新たなトロイの木馬がGoogle Play上で発見されました。このトロイの木馬は密かにアプリケーションをダウンロードし、それらをインストールするようユーザーを促します。そのうえ、迷惑な広告を表示させることが可能です。

Android.MulDrop.924 は「Multiple Accounts: 2 Accounts」という名前のアプリケーションとしてGoogle Play経由で拡散されており、そのダウンロード数は既に100万件を超えています。このプログラムは、デバイス上にインストールされたゲームやその他のソフトウェアで複数のユーザーアカウントを同時に使用することを可能にします。しかしながら、一見無害に見えるこのアプリケーションには隠れた悪意のある機能が備わっています。Doctor Webではこの件について既にGoogle社に対して報告を行っていますが、現時点で Android.MulDrop.924 は未だダウンロード可能な状態のままとなっています。

Android.MulDrop.924 はユニークなモジュラー構造を持っています。その機能の一部は2つの補助モジュール内にあり、それらは暗号化され、 Android.MulDrop.924 のリソースカタログにあるPNG イメージ内に隠されています。起動されると、このトロイの木馬はこれらモジュールを抽出してローカルディレクトリのsection /dataセクション内にコピーし、メモリ内にロードします。

これらコンポーネントの1つは無害な機能を実行するだけでなく、トロイの木馬作成者が利益を得るために使用する複数の広告プラグインを含んでいます。そのうちの1つが悪意のあるモジュールである Android.DownLoader.451.origin です。このモジュールは密かにアプリケーションをダウンロードし、それらをインストールするようユーザーを誘導します。また、デバイスのステータスバーに広告を表示する機能も備えています。

Android.MulDrop.924はGoogle Playのみでなく、その他のアプリケーションストアからも拡散されています。その亜種の1つはアプリケーション「Multiple Accounts: 2 Accounts」の古いバージョンに組み込まれ、第三者機関から発行された署名入り証明書を持っています。 Android.DownLoader.451.origin と同様、悪意のある追加のプラグインである Android.Triada.99 を含み、この Android.Triada.99 は感染したデバイス上でルート権限を取得するためにエクスプロイトをダウンロードします。また、その他のアプリケーションをダウンロード・インストールすることも可能です。この亜種が異なる署名入り証明書を持っているという事実から、これらは元となるトロイの木馬の作成者とは関係のない別の犯罪者グループによって改変され、拡散されているものと考えられます。

Dr.Web for Androidは Android.MulDrop.924 の全ての既知のバージョンとそのコンポーネントを検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。