2015年11月27日
株式会社Doctor Web Pacific
Android.Spy.510 は、元々は無害な改変されたAnonyPlayerメディアアプリケーションとして拡散されていました。このトロイの木馬はAnonyPlayerとしての全ての機能を備えているため、ユーザーは危険なプログラムをインストールしてしまったことに気が付きません。
Android.Spy.510はインストールされると個人情報を収集し、それらをC&C サーバーへ送信します。そのような情報にはGoogle Playユーザーアカウントのログインとパスワード、モバイルデバイスモデル、OSのSDKバージョン、デバイス上でルートアクセス権の取得が可能であるかどうかが含まれます。次にトロイの木馬は、悪意のある機能を持った追加のプログラムを密かにインストールしようとします。その手順として、Android.Spy.510はユーザーの匿名性と個人情報をサードパーティから守るアプリケーションであるとしてAnonyService をインストールするよう促す特別なテキストメッセージを表示させます。このアプリケーションが、Adware.AnonyPlayer.1.originとしてDr.Webウイルスデータベースに追加された広告モジュールです。
インストールされたAdware.AnonyPlayer.1.originはアクセシビリティサービスの使用を許可するようユーザーに対して直ちに要求を出し、スタンバイモードになった後、悪意のある動作を数日の間だけ実行します。そのため、ユーザーが感染源を突き止める可能性は非常に低くなっています。
一定の期間が過ぎると、Adware.AnonyPlayer.1.originはアクセシビリティサービス機能を利用して全てのシステムイベントをモニターし、被害者が何らかのプログラムを起動させるのを待ちます。プログラムが起動されると広告の表示を開始しますが、まずAdware.AnonyPlayer.1.originは、該当するプログラムが広告表示機能を持たないアプリケーションのホワイトリストに含まれているかどうかを確認します。
- org.adw.launcher
- com.android.launcher
- com.android.systemui
- com.android.settings
- com.android.dialer
- com.huawei.android.launcher
- com.google.android.gm
- com.android.deskclock
- com.android.calendar
- com.android.contacts
- com.sec.android.app.camera
- com.lge.settings.easy
- com.android.providers.downloads.ui
- com.android.calculator2
- com.android.mms
- com.android.phone
- android
- com.lge.clock
- com.sec.android.app.launcher
- com.android.gallery
- com.android.camera
- com.google.android.apps.maps
- com.lge.launcher2
- com.apusapps.launcher
- com.lge.splitwindow
- com.sonyericsson.home
- com.android.incallui
- com.google.android.inputmethod.latin
- com.whatsapp
- com.android.packageinstaller
プログラムがこのリストに含まれていた場合、Adware.AnonyPlayer.1.originは広告の表示を中止します。広告を表示させないアプリケーションの起動時に広告が表示されることで、ユーザーに感染源を特定されてしまう恐れがあるからです。
プログラムがリストに含まれていなかった場合、Adware.AnonyPlayer.1.originはWebViewを使用して特別なメッセージを作成し、起動したプログラムの前面にC&Cサーバーによって指定された広告を表示させます。その結果ユーザーは、迷惑な広告を表示させているのは起動したアプリケーションであると考えてしまいます。その上、ユーザーの疑いをメディアプレーヤーからそらすため、Android.Spy.510とAdware.AnonyPlayer.1.originはいずれも自身の起動時には広告を表示させません。
Doctor WebではAndroidデバイスユーザーに対し、信頼できるソースからのみアプリケーションをダウンロードすることを強く推奨しています。また、アクセシビリティサービスの使用を許可するよう要求してくるプログラムには注意するようにしてください。悪意のあるアプリケーションがアクセシビリティ機能を取得すると、グラフィックインターフェースを操作し(ダイアログ内でのユーザーの操作を模倣するなど)、キーロガーとして動作することでユーザーの入力した情報を盗み取ることが可能になります。その結果、テキストメッセージや検索クエリ、パスワードなどの情報を盗まれてしまうことになります。
Android.Spy.510およびAdware.AnonyPlayer.1.originのシグネチャはDr.Webウイルスデータベースに追加されています。そのためDr.Webユーザーに危害が及ぶことはありません。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments