Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

  • すべて:
  • 対応中:
  • 最新: -

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Dr.Web : Androidデバイスにプリインストールされたアプリケーションのプロセス を感染させ、悪意のあるモジュールをダウンロードするトロイの木馬

2017年7月27日

株式会社Doctor Web Pacific


Androidデバイスの複数のモデルのファームウェアに悪意のあるプログラムが組み込まれていることが、Doctor Webのウイルスアナリストによって発見されました。 Android.Triada.231 と名付けられたこのトロイの木馬はシステムライブラリの1つに埋め込まれていました。 Android.Triada.231 は動作中のすべてのアプリケーションに侵入し、追加のモジュールを密かにダウンロード・起動することができます。

Android.Triadaファミリーに属する他のトロイの木馬は悪意のある動作を実行するためにルート権限の取得を試みますが、 Android.Triada.231 はそれらトロイの木馬とは異なり、 libandroid_runtime.so システムライブラリ内に埋め込まれています。 Leagoo M5 Plus、 Leagoo M8、 Nomu S10、 Nomu S20を含む複数のモバイルデバイスで Android.Triada.231 の改変されたバージョンが発見されています。 libandroid_runtime.so はすべてのAndroidアプリケーションによって使用されるため、感染したシステム上で実行中のすべてのアプリケーションのメモリ内で悪意のあるコードが見つかります。

Android.Triada.231 はライブラリのソースコード内に埋め込まれています。このことから、トロイの木馬は感染したモバイルデバイスのファームウェア製造に関わっていた内部者や悪徳な提携企業によって拡散されたものと推測されます。

libandroid_runtime.so 内に埋め込まれていることから、 Android.Triada.231 はデバイス上のアプリケーションがシステムログに記録を行うたびにコントロールを掌握すると言うことができます。アプリケーション起動の前に Zygote が起動されるため、トロイの木馬の初回起動も Zygote によって実行されます。

screenshot Android.Triada.231 #drweb

初期化の後、この悪意のあるプログラムはいくつかのパラメータを設定し、作業ディレクトリを作成します。次に自身の実行環境を確認し、Dalvik環境であった場合はシステムメソッドの1つを横取りします。これにより、すべてのアプリケーションの起動を追跡し、それらの起動後直ちに悪意のある動作を開始することが可能になります。

Android.Triada.231 の主要な機能は、トロイの木馬の他のコンポーネントをダウンロードする悪意のある追加のモジュールを密かに起動させることです。そのために、 Android.Triada.231 は作成しておいた作業ディレクトリ内に特別なサブディレクトリがあるかどうかを確認します。サブディレクトリの名前には、プロセス内にトロイの木馬が侵入したアプリケーションの、ソフトウェアパッケージ名のMD5値が含まれています。そのようなサブディレクトリを見つけると、 Android.Triada.231 は次に、そこに含まれている 32.mmd または 64.mmd ファイル (それぞれ32ビット版および64ビット版OS) を探します。ファイルを見つけると、それを復号化して libcnfgp.so として保存し、システムメソッドの1つを使用してRAM内にロードします。続けて、復号化したファイルをデバイスから削除します。必要なオブジェクトが見つからなかった場合、 Android.Triada.231 は 36.jmd ファイルを探し、復号化して mms-core.jar として保存した後、クラスローダ DexClassLoader を使用して起動し、作成したコピーを削除します。

その結果として、 Android.Triada.231 はトロイの木馬の様々なモジュールをあらゆるアプリケーションのプロセスに侵入させ、それらの動作に影響を及ぼすことができます。例えば、ウイルス作成者は銀行のアプリケーションから機密情報を盗むためやサイバースパイモジュール用に、またはソーシャルメディアクライアントやメッセンジャーでのやり取りを横取りする目的で、悪意のあるプラグインをダウンロード・起動するトロイの木馬を作ることが可能です。

また、 Android.Triada.231 は libandroid_runtime.so からモジュール Android.Triada.194.origin を抽出することができます。 Android.Triada.194.origin は暗号化された形でライブラリ内に保存されています。その主な機能は、インターネットから悪意のある追加のコンポーネントをダウンロードし、それらのコンポーネントが相互に連携するようにすることです。

Android.Triada.231 はOSのライブラリの1つに埋め込まれ、システムセクション内に存在することから、標準的な方法では削除することができません。このトロイの木馬を削除する安全かつ確実な唯一の方法はクリーンな Android ファームウェアをインストールすることです。Doctor Webでは、この問題について、感染したスマートフォンの製造業者に対して報告を行いました。該当するデバイス向けにアップデートがリリースされると考えられます。ユーザーの皆様は、それらをすべてインストールするようにしてください。

Android.Triada.231の詳細(英語)

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F