Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

脆弱性を悪用してアンチウイルスから逃れる新たなAndroid向けトロイの木馬

2013年10月25日

株式会社Doctor Web Pacific


Doctor Webは、韓国のAndroidユーザーから個人情報を盗む新たなトロイの木馬についてユーザーの皆様に警告します。このトロイの木馬の主な機能はAndroidを狙うその他のトロイの木馬と同様ですが、Androidの脆弱性を悪用してアンチウイルススキャンから逃れることが出来るという点で、ユーザーにとってより危険なものとなっています。現時点では、このトロイの木馬は韓国で拡散されていますが、今後その亜種が他の国でも拡散されるようになる可能性は否定できません。

Dr.WebによってAndroid.Spy.40.originと名付けられたこの新たなトロイの木馬は、apkファイルへのリンクを含んだ望まないSMSによって拡散されています。この手法は、Androidマルウェアの拡散方法として東南アジア(主に韓国、日本)で現在最もよく使用されているものです。Android.Spy.40.originはインストールされた後に起動されるとデバイス管理者機能へのアクセス権限を要求し、ホーム画面からそのアイコンを削除しますが、システム内では密かに動作を続けます。

次にトロイの木馬はリモートサーバーに接続し、指示を待ちます。Android.Spy.40.originの実行する主なタスクには以下のものがあります。

  • 受信するSMSを傍受し、それらをサーバーに送信する(メッセージはユーザーから隠されます)
  • 通話の発信をブロック
  • アドレス帳やインストールされたアプリケーションのリストをサーバーに送信
  • 受け取ったコマンドで指定されたアプリケーションを削除またはインストール
  • コマンド内で設定されたテキストのSMSを特定の番号に送信

Android.Spy.40.originは、個人情報、個人的なやり取りやビジネスでのやり取り、銀行アカウント情報、オンラインバンキングの取引認証に使用されるmTANコードを含んだメッセージを傍受することが可能であるため、非常に危険なプログラムであると言えます。

しかしAndroid.Spy.40.originの最も特徴的な機能は、アンチウイルスから逃れるためにAndroidの脆弱性を悪用するというものです。マルウェアを隠すために犯罪者はこのトロイの木馬のapkファイルを改変しています(apkファイルは異なる拡張子を持った標準的なzipアーカイブです)。

zipファイルのフォーマットでは、各ファイルのアーカイブヘッダには「汎用目的のビットフラグ」フィールドが含まれており、0が設定されていればアーカイブ内のファイルが暗号化されている(パスワード保護されている)ことを表します。従って、パスワードが設定されていない場合でも、フィールドに1が設定されていればファイルは暗号化されていると判断されます。

通常であれば、そのようなzipファイルを解凍しようとすると、上の画像のようにパスワードを入力する画面が表示されますが、Androidの脆弱性によって0ビットが無視されるため、プログラムのインストールを許可してしまいます。一方で、アンチウイルスプログラムは「汎用目的のビットフラグ」フィールドを正しく処理します。そのため、例えapkファイル内に含まれた悪意のあるファイルがウイルスデータベースに追加されているものであったとしても、ファイルはパスワード保護されておりスキャンの必要がないと判断されます。

Doctor Webでは迅速にDr.Web for Androidの改良を行い、前述の脆弱性を悪用するマルウェアの検出を可能にしました。その一方でAndroidユーザーの皆様には警戒を怠らず、疑わしいアプリケーションをインストールしたり、心当たりのないSMSに含まれたリンクをクリックしたりすることのないよう強く推奨します。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F