2016年7月28日

株式会社Doctor Web Pacific

Doctor Webのスペシャリストは、迷惑な広告を表示させ、ユーザーの個人情報を盗むよう設計されたトロイの木馬をGoogle Play上で発見しました。このマルウェアは150を超えるAndroidアプリケーション内に組み込まれ、既に280万を超えるユーザーによってダウンロードされています。

Android.Spy.305.origin と名付けられたこのトロイの木馬は、アプリケーションのダウンロードから収益を得るための広告配信プラットフォームSDKとして組み込まれています。Doctor Webでは、MaxMitek Inc、Fatty Studio、Gig Mobile、TrueApp Lab、Sigourney Studio、Doril Radio.FM、Finch Peach Mobile Apps、Mothrr Mobile Appsの少なくとも7つの開発者によって提供されるアプリケーション内に Android.Spy.305.origin が含まれていることを確認しています。

上記アプリケーションには、ライブ壁紙や画像保存アプリ、ユーティリティ、写真編集アプリ、ラジオアプリなどが含まれています。これまでのところ、Doctor Webによって155個の危険なアプリケーションが発見されており、それらは既に280万回を超えてダウンロードされています。Doctor WebではAndroid.Spy.305.originを含んだアプリケーションについてGoogle社に報告を行いましたが、それらの多くが未だにダウンロード可能な状態となっています。

これらアプリケーションの1つが起動されると、 Android.Spy.305.origin はC&Cサーバーに接続し、追加のモジュールである Android.Spy.306.origin をダウンロードするためのコマンドを受け取ります。このコンポーネントには、 Android.Spy.305.origin がDexClassLoaderを使用して実行する主要な悪意のあるペイロードが含まれています。

続けて、トロイの木馬は以下のデータをC&Cサーバーへ送信します：

• Googleユーザーアカウントと関連付けられたEメールアドレス
• インストールされているアプリケーションの一覧
• 現在のシステム言語
• デバイスメーカー名
• モバイルデバイスのモデル
• IMEI番号
• OSバージョン
• 画面解像度
• 携帯電話事業者
• トロイの木馬を含んでいるアプリケーションの名前
• デベロッパーID
• プラットフォームSDKのバージョン

次に、Android.Spy.305.originは動作中のアプリケーションやOSインターフェースの前面に迷惑な広告を表示させ、様々なソフトウェアをダウンロードするようユーザーを誘導するほか、「デバイスがマルウェアプログラムに感染している」と脅します。

Android.Spy.305.origin は以下のプログラム内で発見されています：

• com.greenapp.slowmotion
• com.maxmitek.livewallpapernight
• com.asem.contactfilter
• com.allinOne.openquickly
• com.dorilradio.pe
• com.fusianart.takescreenshots
• com.maxmitek.livewallpapergod
• com.gigmobile.booster
• com.mobilescreen.recorder
• com.mobilescreen.capture
• com.fattys.automaticcallrecording
• com.maxmitek.livewallpaperbutterfly
• com.lollicontact.caller
• com.fusianart.doubletapscreen
• com.maxmitek.livewallpaperrain
• com.dorilradio.ru
• com.appworks.browser
• com.maxmitek.livewallpaperwinter
• com.sgfatty.videoplayerpro
• com.trueapppower.battery
• com.fattystudiocontacts.bassbooster
• com.mobiletool.rootchecker
• com.magicapp.reversevideo
• com.maxmitek.livewallpaperchristmas
• com.live3d.wallpaperlite
• com.maxmitek.flowerwallpaper
• com.maxmitek.livewallpaperaquariumfishfish
• com.maxmitek.nightwallpapers
• com.vmh.crackyourscreen
• com.nicewallpaper.s6wallpaper
• com.maxmitek.sunsetwallpaper
• com.nicewallpaper.supercar
• com.maxmitek.lovewallpaper
• com.maxmitek.livewallpaperdolphins
• com.nicewallpaper.beautigirl
• com.maxmitek.beachwallpaper
• com.maxmitek.livewallpapernewyear
• com.maxmitek.livewallpapergalaxy
• com.maxmitek.livewallpaper3d
• com.maxmitek.livewallpaperwaterfall
• com.maxmitek.wallpaperhalloween
• com.maxmitek.catwallpaper
• com.fattysgui.beautyfont
• com.fattystudioringtone.mp3cutter
• com.fattystudio.convertertomp3
• com.fattystudio.pictureeditor
• com.gig.wifidoctor
• com.minibackup.contacttranfer
• com.greenapp.voicerecorder
• com.glade.batterysaver
• com.beatstudio.awcapture
• com.mothrrmobile.volume
• com.trueapplab.fastlauncher
• net.camspecial.clonecamera
• com.sunny.text2photo
• com.converttool.videomp3
• com.foto.proeditor
• com.appworks.djmixonline
• com.appworksui.myfonts
• com.appworks.crackyourscreen
• com.appworkscontact.instadownloader
• com.rartool.superextract
• com.easytool.screenoff
• net.electronic.alarmclock
• com.finchpeach.heartrate
• com.finchpeach.weatherpro
• net.dotcom.cpuinfo
• com.finchpeach.wifihotspotfree
• net.brscreen.filter
• com.evin.translator
• com.dorilradio.ua
• com.dorilradio.ir
• com.dorilradio.pk
• com.dorilradio.sm
• com.dorilradio.me
• com.dorilradio.sv
• com.dorilradio.sr
• com.dorilradio.sk
• com.dorilradio.sl
• com.dorilradio.sg
• com.dorilradio.py
• com.dorilradio.pr
• com.dorilradio.pa
• com.dorilradio.mc
• com.dorilradio.lu
• com.dorilradio.lt
• com.dorilradio.lv
• com.dorilradio.li
• com.dorilradio.de
• com.dorilradio.kr
• com.dorilradio.is
• com.dorilradio.il
• com.dorilradio.hn
• com.dorilradio.ht
• com.dorilradio.gh
• com.dorilradio.hn
• com.dorilradio.ht
• com.dorilradio.gh
• com.dorilradio.ec
• com.dorilradio.fi
• com.dorilradio.doo
• com.dorilradio.cz
• com.dorilradio.cy
• com.dorilradio.cr
• com.dorilradio.bo
• com.dorilradio.th
• com.dorilradio.br
• com.dorilradio.gr
• com.dorilradio.es
• com.dorilradio.nl
• com.dorilradio.be
• com.dorilradio.id
• com.dorilradio.pl
• com.dorilradio.tr
• com.dorilradio.mx
• com.dorilradio.gt
• com.dorilradio.hu
• com.dorilradio.nz
• com.dorilradio.pt
• com.dorilradio.ch
• com.dorilradio.ro
• com.dorilradio.rs
• com.dorilradio.eg
• com.dorilradio.lk
• com.dorilradio.my
• com.dorilradio.tn
• com.dorilradio.tw
• com.dorilradio.no
• com.dorilradio.za
• com.dorilradio.ba
• com.dorilradio.bg
• com.dorilradio.hr
• com.dorilradio.dk
• com.dorilradio.in
• com.dorilradio.ie
• com.dorilradio.ph
• com.dorilradio.ar
• com.dorilradio.cl
• com.dorilradio.co
• com.dorilradio.ve
• com.dorilradio.sn
• com.dorilradio.uy
• com.dorilradio.ma
• com.dorilradio.se
• com.dorilradio.ng
• com.dorilradio.dz
• com.dorilradio.ke
• com.dorilradio.it
• com.dorilradio.cn
• com.dorilradio.ca
• com.dorilradio.jp
• com.dorilradio.fr
• com.dorilradio.au
• com.dorilradio.uk
• com.dorilradio.us

Google PlayはAndroid用アプリケーションの正式かつ信頼できる提供元ではありますが、時にトロイの木馬を含んだものが発見されることがあります。そのため、Doctor Webでは、インストールをしないように注意する他のユーザーによる投稿コメントに留意し、信頼できる開発者によって作成されたソフトウェアをダウンロードするよう推奨しています。Dr.Web for Androidは Android.Spy.305.origin を検出・削除することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。