Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

電話

+7 (495) 789-45-86

フォーラム(英語)
Profile

ニュース一覧に戻る

Doctor Web:Telegram経由で管理されてイランのユーザーをスパイするAndroid向けトロイの木馬

2017年6月19日

株式会社Doctor Web Pacific


この度、Telegramプロトコル経由でサイバー犯罪者によって管理されるAndroid向けトロイの木馬が、Doctor Webのセキュリティリサーチャーによって発見されました。この悪意のあるプログラムは機密情報を盗み、サイバー犯罪者から受け取ったコマンドを実行します。

Android.Spy.377.origin と名付けられたこのトロイの木馬は、無害なアプリケーションを装って拡散されるリモート管理ツール(RAT)で、イランのユーザーに対して攻撃を行っていました。このユーティリティは「ینستا پلاس(Insta Plus)」、「پروفایل چکر(Profile Checker)」、「Cleaner Pro」と呼ばれるプログラムとしてスマートフォンやタブレット上にインストールされます。

screenshot Android.Spy.377.origin #drweb

起動されると、 Android.Spy.377.origin は感染させたモバイルデバイスのユーザーが他のユーザーの間でどれだけ人気があるかどうかをチェックするために個人のIDを提示するよう求めます。ユーザーが該当するフォームに情報を入力すると、 Android.Spy.377.origin はユーザーのプロファイルに対する「訪問者数」を表示させます。ところが、トロイの木馬は実際にチェックを行っているわけではなく、任意の数字を本当の結果であるかのように表示させているにすぎません。これは、プログラムが信頼できる無害なものであるという印象を与えるための機能です。起動後しばらくすると、 Android.Spy.377.origin は自身のショートカットをデバイスのホーム画面から削除し、ウィンドウを閉じることでシステム内での存在を隠そうとします。

screenshot Android.Spy.377.origin #drweb

Android.Spy.377.origin はサイバー犯罪者から受け取ったコマンドを実行することのできる典型的なスパイウェアプログラムですが、オンラインメッセンジャーTelegramのメッセージ交換用プロトコルを介してサイバー犯罪者によって管理されるという点で、他のAndroid向けトロイの木馬と性質を異にしています。 Android.Spy.377.origin はこのような機能を持った初のAndroid向けトロイの木馬です。

Android.Spy.377.origin はショートカットを削除した後、連絡先リスト、受信および送信SMSメッセージ、モバイルデバイス所有者のGoogleアカウントデータをコピーし、それらを作業ディレクトリ内のテキストファイルに保存します。また、フロントカメラでユーザーの顔写真を撮影し、その写真を盗んだデータと一緒にC&Cサーバーにロードします。その後、サイバー犯罪者のTelegramボットに対し、デバイスの感染に成功したことを知らせるシグナルを送信します。

以下は、 Android.Spy.377.origin からサイバー犯罪者に対して送信されたファイルの例です:

screenshot Android.Spy.377.origin #drweb

機密情報を盗むと、 Android.Spy.377.origin は再度ボットに接続し、コントロールコマンドを含んだメッセージがボットから送信されるのを待ちます。このトロイの木馬は以下のコマンドを受け取ることができます:

  • call — 電話をかける
  • sendmsg —SMSを送信する
  • getapps — インストールされているアプリケーションに関する情報をサーバーに送信する
  • getfiles — 入手可能な全てのファイルに関する情報をサーバーに送信する
  • getloc — デバイスの位置情報をサーバーに送信する
  • upload — コマンドで指示された、デバイス上に保存されているファイルをサーバーにアップロードする
  • removeA — コマンドで指定されたファイルをデバイスから削除する
  • removeB — ファイルのグループを削除する
  • lstmsg — 送受信された全てのSMSに関する情報(送信者および受信者の電話番号、メッセージの内容を含む)を含んだファイルをサーバーに送信する

それぞれのコマンドが実行されると、 Android.Spy.377.origin はその情報をサイバー犯罪者のTelegramボットに送ります。

サイバー犯罪者のコマンドに応じて機密データを収集するほか、 Android.Spy.377.origin は全ての送受信SMSとデバイスの位置情報を独自にトラッキングします。新しいメッセージを受信・送信した場合や、感染したスマートフォンやタブレットの位置が変わった場合、 Android.Spy.377.origin はサイバー犯罪者のTelegramボットに対して警告を送信します。

多くの場合、サイバー犯罪者は無害なプログラムを装った形で悪意のあるアプリケーションを拡散させているという点に注意してください。お使いのデバイスをAndroid向けトロイの木馬から守るため、信用できるデベロッパーによって配信されているソフトウェアをインストールするようにしてください。また、それらをGoogle Playなどの信頼性の高いソースからダウンロードすることを推奨します。Android向けDr.Webアンチウイルス製品は Android.Spy.377.origin の既知の全てのバージョンを検出することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Android.Spy.377.originの詳細(英語)

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F