Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Web、Play Store上に侵入しGoogle Playアプリを密かにダウンロードするトロイの木馬を発見

2017年1月18日

株式会社Doctor Web Pacific


数あるAndroid向けトロイの木馬の中でも、モバイルデバイス上に密かにソフトウェアをダウンロードする悪意のあるプログラムは特に広く拡散されています。これらのプログラムを使用してソフトウェアのダウンロード・インストールに成功するたびにサイバー犯罪者は報酬を得ることができます。この度Doctor Webのセキュリティリサーチャーによって発見されたそのようなトロイの木馬の1つは、Play Storeの動作中のプロセス内に侵入し、Google Playアプリケーションのインストール数を密かに増やす機能を備えていました。

Android.Skyfin.1.origin は、スマートフォンやタブレットを感染させるとルートアクセスの取得を試み、悪意のあるプログラムをシステムディレクトリ内に密かにインストールする Android.DownLoader ファミリーに属するトロイの木馬( Android.DownLoader.252.originAndroid.DownLoader.255.origin など)によって拡散されているものと考えられます。これらトロイの木馬のコードに Android.Skyfin.1.origin 特有のストリングが含まれていたことが、その可能性を高いものにしています。

Android.Skyfin.1.origin は起動されると、追加のモジュールである Android.Skyfin.2.origin をPlay Storeのプロセス内に挿入します。このモジュールは、モバイルデバイスのユニークなID、ユーザーがGoogleサービスで使用するアカウント、Google Playカタログに接続するための様々な内部認証コード、そしてその他の機密データを盗みます。これらのデータは Android.Skyfin.1.origin のメインコンポーネントに送られ、その後、トロイの木馬によってデバイスの技術的情報と共にC&Cサーバーへ送信されます。

Android.Skyfin.1.origin は収集したデータを使用してGoogle Play カタログに接続し、Play Storeアプリケーションの動作を模倣します。このトロイの木馬は以下のコマンドを実行することができます:

  • /search – ユーザーアクションのシーケンスを模倣するためにカタログ内を検索する
  • /purchase – プログラムを購入する
  • /commitPurchase – 購入を確認する
  • /acceptTos – 使用許諾契約書への同意を確定する
  • /delivery – カタログからAPKファイルをダウンロードするためのリンクを要求する
  • /addReview /deleteReview /rateReview – レビューを追加、削除、評価する
  • /log – インストール数を不正に増やすためにプログラムのダウンロードを許可する

サイバー犯罪者によって指定されたアプリケーションがダウンロードされた後、 Android.Skyfin.1.origin はそれらをインストールせずにSDカード上に保存します。そのため、どこからともなく新しいプログラムが現れてユーザーを驚かせるようなことはありません。こうしてトロイの木馬は気付かれることなくデバイス上に残り、Google Playアプリケーションのインストール数を増やし続けることができます。

Doctor Webセキュリティリサーチャーによって、 Android.Skyfin.1.origin の複数の亜種が発見されています。そのうちの1つはGoogle Playから「com.op.blinkingcamera」というアプリケーションのみをダウンロードします。このトロイの木馬は「com.op.blinkingcamera」の広告を含んだGoogle AdMobバナーをタップしてAPKファイルをダウンロードし、Googleサーバー上で偽のインストールを確定することでインストール数を自動的に増加させます。 Android.Skyfin.1.origin のまた別の亜種は、より一般的なもので、カタログからあらゆるアプリケーションをダウンロードすることができます。そのために、このトロイの木馬はダウンロードするプログラムのリストを備えています。

Dr.WebのAndroid向けアンチウイルスは Android.Skyfin.1.origin の既知の亜種を全て検出します。スマートフォンやタブレットのユーザーはデバイス内にこのトロイの木馬がないかどうかを確認することができます。ただし、 Android.Skyfin.1.origin はシステムカタログ内にインストールされるため、削除するには、ルートアクセスを持ち、この種の悪意のあるアプリケーションを処理する能力を備えたDr.Web Security Space for Androidを使用する必要があります。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F