ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
News

カテゴリ別のニュース

ウィルスアラート
インフォーマー
プレスセンター

ニュース一覧に戻る

Doctor Web、Play Store上に侵入しGoogle Playアプリを密かにダウンロードするトロイの木馬を発見

2017年1月18日

株式会社Doctor Web Pacific

数あるAndroid向けトロイの木馬の中でも、モバイルデバイス上に密かにソフトウェアをダウンロードする悪意のあるプログラムは特に広く拡散されています。これらのプログラムを使用してソフトウェアのダウンロード・インストールに成功するたびにサイバー犯罪者は報酬を得ることができます。この度Doctor Webのセキュリティリサーチャーによって発見されたそのようなトロイの木馬の1つは、Play Storeの動作中のプロセス内に侵入し、Google Playアプリケーションのインストール数を密かに増やす機能を備えていました。

Android.Skyfin.1.origin は、スマートフォンやタブレットを感染させるとルートアクセスの取得を試み、悪意のあるプログラムをシステムディレクトリ内に密かにインストールする Android.DownLoader ファミリーに属するトロイの木馬( Android.DownLoader.252.originAndroid.DownLoader.255.origin など)によって拡散されているものと考えられます。これらトロイの木馬のコードに Android.Skyfin.1.origin 特有のストリングが含まれていたことが、その可能性を高いものにしています。

Android.Skyfin.1.origin は起動されると、追加のモジュールである Android.Skyfin.2.origin をPlay Storeのプロセス内に挿入します。このモジュールは、モバイルデバイスのユニークなID、ユーザーがGoogleサービスで使用するアカウント、Google Playカタログに接続するための様々な内部認証コード、そしてその他の機密データを盗みます。これらのデータは Android.Skyfin.1.origin のメインコンポーネントに送られ、その後、トロイの木馬によってデバイスの技術的情報と共にC&Cサーバーへ送信されます。

Android.Skyfin.1.origin は収集したデータを使用してGoogle Play カタログに接続し、Play Storeアプリケーションの動作を模倣します。このトロイの木馬は以下のコマンドを実行することができます:

  • /search – ユーザーアクションのシーケンスを模倣するためにカタログ内を検索する
  • /purchase – プログラムを購入する
  • /commitPurchase – 購入を確認する
  • /acceptTos – 使用許諾契約書への同意を確定する
  • /delivery – カタログからAPKファイルをダウンロードするためのリンクを要求する
  • /addReview /deleteReview /rateReview – レビューを追加、削除、評価する
  • /log – インストール数を不正に増やすためにプログラムのダウンロードを許可する

サイバー犯罪者によって指定されたアプリケーションがダウンロードされた後、 Android.Skyfin.1.origin はそれらをインストールせずにSDカード上に保存します。そのため、どこからともなく新しいプログラムが現れてユーザーを驚かせるようなことはありません。こうしてトロイの木馬は気付かれることなくデバイス上に残り、Google Playアプリケーションのインストール数を増やし続けることができます。

Doctor Webセキュリティリサーチャーによって、 Android.Skyfin.1.origin の複数の亜種が発見されています。そのうちの1つはGoogle Playから「com.op.blinkingcamera」というアプリケーションのみをダウンロードします。このトロイの木馬は「com.op.blinkingcamera」の広告を含んだGoogle AdMobバナーをタップしてAPKファイルをダウンロードし、Googleサーバー上で偽のインストールを確定することでインストール数を自動的に増加させます。 Android.Skyfin.1.origin のまた別の亜種は、より一般的なもので、カタログからあらゆるアプリケーションをダウンロードすることができます。そのために、このトロイの木馬はダウンロードするプログラムのリストを備えています。

Dr.WebのAndroid向けアンチウイルスは Android.Skyfin.1.origin の既知の亜種を全て検出します。スマートフォンやタブレットのユーザーはデバイス内にこのトロイの木馬がないかどうかを確認することができます。ただし、 Android.Skyfin.1.origin はシステムカタログ内にインストールされるため、削除するには、ルートアクセスを持ち、この種の悪意のあるアプリケーションを処理する能力を備えたDr.Web Security Space for Androidを使用する必要があります。

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments