2013年9月26日

株式会社Doctor Web Pacific

Doctor Webは、感染したAndroidデバイスで構成される世界最大規模のボットネットを発見しました。現在までに、20万台を超えるスマートフォンがAndroid.SmsSendプログラムに感染し、ネットワークに追加されています。今回のケースでは、犯罪者の作成したサイトや感染してしまったサイトが主な感染源となっています。感染したデバイス数が最も多かった国はロシアで、次いでウクライナ、カザフスタン、ベラルーシ共和国となっており、被害額は数十万ドルに上ると推定されます。

デバイスを感染させボットネットに加えるために、犯罪者は複数の悪意のあるプログラムを使用してきました。それらのプログラムには、新たに発見されたAndroid.SmsSend.754.origin、モバイルwebブラウザとして拡散され2013年3月にDr.Webによって発見されたAndroid.SmsSend.412、2013年4月に発見されたAndroid.SmsSend.468.origin、2013年6月にDr.Webによって発見されたAndroid.SmsSend.585.originがあります。今回発見されたボットネットに関連するトロイの木馬の最初のバージョンはAndroid.SmsSend.233.originで、2012年11月にDr.Webウイルスデータベースに追加されています。多くの場合、感染源となっているのは犯罪者の作成したwebサイトや、マルウェアの拡散に利用されている感染したサイトです。

Android.SmsSend.754.originトロイの木馬はFlow_Player.apkという名前のapkアプリケーションです。インストールの際に、ユーザーはこのアプリケーションを管理者権限で実行するよう指示され、その結果、アプリケーションは画面のロックおよびロック解除を行うことが可能になります。さらにAndroid.SmsSend.754.originは、インストール後にそのアイコンをホーム画面から消去する機能を持っています。

インストールが完了するとAndroid.SmsSend.754.originは、IMEI、アカウント残高、国名コード、携帯電話番号、オペレータコード、モデル名、OSバージョンなどの、感染したデバイスに関する情報を犯罪者に送信します。 次にトロイの木馬は犯罪者からのコマンドを待ち、その応答として、指定された番号に対する特定のテキストの送信、アドレス帳に登録されている番号に対するSMSの大量送信、指定されたURLのブラウザ上での表示、特定のヘッダーやテキストを含んだメッセージのデバイス画面上での表示、などの動作を実行します。

Doctor Webのアナリストによって収集された統計によると、現在までに20万台を超えるAndroidモバイルデバイスがボットネットに追加されています。感染したデバイス数の最も多かった国はロシア（12万8,458台）、ウクライナ（3万9,020台）、カザフスタン（2万1,555台）となっています。以下の図は国別の拡散状況です。

以下のグラフは、感染したデバイスのモバイルオペレータごとの割合です。

今回のケースは、Androidモバイルデバイスの感染としては過去6ヵ月における最大規模のものとなりました。その被害額は数十万ドルに上ると推定されています。

現時点では、前述の脅威は全てDr.Webアンチウイルスソフトウェアによって検出、駆除されます。Doctor Webでは、疑わしいwebサイトからのソフトウェアのダウンロード・インストールを行わないようユーザーの皆様に対して強く推奨すると共に、今後も状況の注意深い監視を続けていきます。