Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

新たな脆弱性を悪用するトロイの木馬がAndroidアプリケーション配信サイトから拡散

2013年8月5日

株式会社Doctor Web Pacific


Doctor Webは、近頃発見されたAndroidの「マスターキー」脆弱性を悪用した悪意のあるプログラムの初めての例を確認しました。このAndroid.Nimefas.1.originは、SMSの送信、犯罪者への個人情報の送信、感染したデバイス上での犯罪者によるリモートでのコマンド実行を可能にする機能を備えています。現時点では、中国のユーザー向けAndroidアプリケーション配信サイトで入手可能なゲームやアプリケーションと一緒に拡散されていますが、今後「マスターキー」脆弱性を悪用したマルウェアの増加が予想されることから、それに伴う拡散地域の拡大も十分に考えられます。

「マスターキー」脆弱性の悪用は技術的に決して難しいものではないことから、遅かれ早かれ犯罪者によって利用されるであろうということは、この脆弱性が公になった瞬間からセキュリティエキスパート達によって予測されていました。はたしてその通り、脆弱性の詳細が明らかにされてから1ヵ月も経たないうちに、今回のマルウェアが登場しています。

Dr.WebによってAndroid.Nimefas.1.originと名付けられたこのトロイの木馬は、Androidアプリケーションと一緒に拡散され、プログラムのDexFileが置かれていたディレクトリ内に改変されたDexFileとして含まれています。「マスターキー」脆弱性はAndroidでのアプリケーションのインストールに関するもので、apkパッケージのサブディレクトリに同じ名前を持つファイルが2つ含まれていた場合に、OSは1つ目のファイルのデジタル署名を確認しますが、確認されていない2つ目のファイルをインストールしてしまうというものでした。これを利用することで、Android.Nimefas.1.originは改変されたアプリケーションのインストールを防ぐセキュリティをすり抜けます。

以下の画像は、Android.Nimefas.1.originに感染した例です。

screen

このトロイの木馬はデバイス上で起動されると、中国で知られているアンチウイルスがシステム内で動作していないかどうかを確認します。

アンチウイルスが1つでも発見された場合は、ルートアクセスが可能であるかどうかを確かめるため "/system/xbin/su" または "/system/bin/su" ファイルを探します。ファイルが見つかった場合、Android.Nimefas.1.originは動作を停止します。それ以外の場合、トロイの木馬は動作を続行します。

またAndroid.Nimefas.1.originは、ハードコードされているリストからランダムに選択した犯罪者の携帯番号に対して、感染したデバイスのIMSI番号を送信します。

その後、感染したデバイス上のアドレス帳に登録されている全ての携帯番号に対してSMSが送信されます。メッセージに使用されるテキストはリモートサーバーからダウンロードされ、また、メッセージの送信先に関する情報が同サーバーに送信されます。このマルウェアは異なる携帯番号に対して任意のSMSを送信することができ、そのために必要なデータ(メッセージテキストと携帯番号)は全てC&Cサーバーから取得されます。

さらに、このトロイの木馬は受信したメッセージをユーザーから隠す機能を持っています。そのようなメッセージをテキストや番号に応じて選択するためのフィルタもまた、犯罪者のサーバーからダウンロードされます。

ただし、現在このリモートサーバーは動作を停止しています。

screen

Android.Nimefas.1.originは、中国のアプリケーション配信サイトで入手可能な多くのゲームやアプリケーションと一緒に拡散されており、中国のユーザーにとって深刻な脅威となっています。サイトの管理者に対しては既に報告が行われていますが、今後「マスターキー」脆弱性を悪用したマルウェアの増加に伴う拡散地域の拡大が予想されます。Androidモバイルデバイスのメーカーからは、この脆弱性を閉じるOSのアップデートがリリースされていないため、多くのデバイスが被害に合う可能性があります。また、市場にはメーカーによるサポートが終了しているデバイスも多く出回っており、そのようなデバイスのユーザーはセキュリティを入手できない可能性もあります。

このトロイの木馬はDr.WebのOrigins Tracing™によって検出されるため、Dr.Web anti-virus for Androidが動作しているデバイスはAndroid.Nimefas.1.originから保護されています。また、このマルウェアを含んだapkファイルはExploit.APKDuplicateNameとしてDr.Webによって検出されています。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F