Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Androidファームウェアに潜むマルウェア

2014年11月18日

株式会社Doctor Web Pacific


Doctor Webは、Androidデバイスのファームウェアに埋め込まれた新たなトロイの木馬を発見しました。 Android.Becu.1.originと名付けられたこの悪意のあるプログラムは多数のAndroidデバイス上で発見され、ユーザーの承諾無しにプログラムをダウンロード、インストール、削除するほか、特定の番号から受信するSMSをブロックする機能を備えています。

このマルウェアは、相互に連携する複数のモジュールで構成されています。 Android.Becu.1.originのメインモジュールであるCube_CJIA01.apkファイルはシステムディレクトリ内に置かれ、ユーザーの許可なしにあらゆる動作を行う権限を持つようOSによるデジタル署名が付加されています。また、ファームウェアに埋め込まれているということが、従来の方法によるこのプログラムの削除を非常に難しくしています。

Android.Becu.1.originは感染したデバイスが起動されるか、または新しいSMSを受信する度に悪意のある動作を開始し、暗号化されたパッケージを設定ファイルに従ってリモートサーバーからダウンロードします。復号化された後、データはuac.apkファイルとしてマルウェアのインストールディレクトリ内に保存されます。デバイスメモリ内へのデータのロードにはDexClassLoaderが使用され、続けてAndroid.Becu.1.originは同じディレクトリ内に保存された2つ目のモジュールであるuac.dexを起動させます。これら2つのモジュールはメインペイロードを持ち、リモートサーバーからのコマンドに従ってアプリケーションを密かにダウンロード、インストール、削除します。

モジュールの起動に成功すると、Android.Becu.1.origincom.zgs.ga.packファイル内に含まれる3つ目のモジュールがシステム内に存在するかどうかを確認し、見つからなかった場合はデバイス上にダウンロード、インストールします。次に、自身のアクティブなコピーに関する情報を送信することでリモートサーバーにスマートフォンやタブレットを登録します。モジュールのいずれかがユーザーによって削除されると、マルウェアのメインファイルを使用することで再インストールされます。

screen

プログラムを密かにインストールまたは削除するという主要なタスクの他に、Android.Becu.1.originは特定の番号から受信するSMSを全てブロックするという機能を備えています。

Doctor Webのセキュリティリサーチャーによると、この脅威は現時点でUBTEL U8、H9001、World Phone 4、X3s、M900、Star N8000、ALPS H9500を含むポピュラーなAndroidデバイス上で確認されています。Android.Becu.1.originに感染したファームウェアはユーザー自身によってダウンロードされる場合と、犯罪に加担するスマートフォンやタブレットのサプライヤーによってインストールされる場合があります。

Android.Becu.1.originは直接OS内に埋め込まれていることから従来の方法による完全な削除は非常に困難であり、アプリケーション管理メニューでトロイの木馬を「フリーズ」させる手法が最も簡単かつ安全な対処方法となります。その手順として、まずインストールされたプログラムのリストからトロイの木馬のメインファイル(com.cube.activityパッケージ)を探し、「無効にする」をタップしてください。その結果、Android.Becu.1.originは動作を継続することができなくなります。その後、インストールされている可能性のあるその他のモジュール(com.system.outapiおよびcom.zgs.ga.packパッケージ)を削除してください。

ルートアクセスを有効化してトロイの木馬のメインモジュールをデバイス上から手動で削除する、または感染していないファームウェアでデバイスをリフラッシュする(保存されているデータは失われます)ことでAndroid.Becu.1.originを削除する方法もあります。ただし、これらの方法はデバイスにダメージを与える危険性があるため、重要なデータのバックアップを作成したうえで、上級ユーザーが自己責任において行うようにしてください。

この脅威はDr.Web Anti-virus for AndroidおよびDr.Web for Android Lightによって検出されます。ユーザーの方はデバイスのフルスキャンを行うことを推奨します。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F