Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Web:Androidのクリティカルな脆弱性を悪用してソフトウェアを 感染させ、インストールするトロイの木馬Android.InfectionAds

2019年4月18日

株式会社Doctor Web Pacific


Doctor WebのウイルスアナリストはAndroid OSの複数の脆弱性を悪用するトロイの木馬 Android.InfectionAds.1 について調査を行いました。このトロイの木馬はそれらの脆弱性を利用してソフトウェアを感染させ、ユーザーの操作なしにアプリケーションをインストール/アンインストールします。 Android.InfectionAds.1 のもう1つの目的は広告を表示させることです。

犯罪者はこのトロイの木馬を無害なソフトウェアに埋め込み、改変したコピーを Nine Store や Apkpure などの人気のサードパーティAndroidアプリストアから配信していました。HDカメラ、ORG 2018_19\Tabla Piano Guitar Robab Guitar、Euro Farming Simulator 2018、Touch on Girlsなどのゲームやソフトウェアで Android.InfectionAds.1 が検出されています。それらの中には少なくとも数千人のモバイルデバイスユーザーによってインストールされているものもあり、感染しているアプリケーションと被害を受けたユーザーの数はさらに多い可能性があります。

screenshot Android.InfectionAds.1 #drweb screenshot Android.InfectionAds.1 #drweb

screenshot Android.InfectionAds.1 #drweb

ユーザーによって起動されると、トロイの木馬を含んだプログラムはファイルリソースから補助モジュールを抽出し、それらを復号化して起動させます。そのうちの1つは迷惑な広告を表示するよう設計されており、その他のモジュールはソフトウェアを感染させ、自動的にアプリケーションをインストールします。

Android.InfectionAds.1 はシステムインターフェースや動作中のアプリケーションの前面に広告バナーを表示させることでデバイスの操作を困難にします。また、C6Cサーバーからのコマンドに応じて、多くのプログラムやゲームで使用されているAdmobやFacebook、Mopubなどの広告プラットフォームのコードを改変することもできます。トロイの木馬はそれら広告の識別子を自身の識別子に置き換えることで、感染したアプリケーション内に広告を表示することで得られるすべての収益が犯罪者の手に渡るようにします。

Android.InfectionAds.1 は、Androidのクリティカルな脆弱性 CVE-2017-13315 を悪用しています。この脆弱性はトロイの木馬がシステムアクティビティを開始することを可能にするもので、その結果、トロイの木馬はユーザーに気づかれることなくプログラムを自動的にインストール/アンインストールすることができるようになります。 Android.InfectionAds.1 は、この脆弱性が悪用される可能性を証明するために中国のリサーチャーによって書かれたPoC(Proof of Concept:概念実証)コードを基に作成されています。

CVE-2017-13315は EvilParcel と呼ばれる脆弱性に分類されます。これは、アプリケーションとオペレーティングシステム間でやり取りされるデータの改変を可能にしてしまうエラーが複数のシステムコンポーネントに含まれているということを意味します。やり取りされるデータのフラグメントが特別に生成され、その最後の値は元の値と異なるものになります。こうして、プログラムはOSによるチェックを回避し、より高い権限を取得して、これまで不可能だった動作を実行します。現在のところ、この種類の7つの脆弱性が知られており、その数は今後増えていくものと考えられます。

EvilParcelを利用して、 Android.InfectionAds.1 はトロイの木馬のすべてのコンポーネントが含まれた隠しAPKファイルをインストールします。同様に、その他のソフトウェアやマルウェア、C&Cサーバーからダウンロードした自身のアップデートをインストールすることができます。たとえば、Doctor Webによる分析中には、自身の亜種の1つであるマルウェア Android.InfectionAds.4 をインストールしていました。

以下の画像は、トロイの木馬がユーザーの許可なしにどのようにアプリケーションをインストールするかを示した一例です。

screenshot Android.InfectionAds.1 #drweb

EvilParcelのほかに、このトロイの木馬は Janus(CVE-2017-13156) として知られるまた別のAndroidの脆弱性も悪用します。この脆弱性は、既にインストールされているアプリケーションにトロイの木馬のコピーを埋め込むことでそれらを感染させるために使用されます。 Android.InfectionAds.1 はC&Cサーバーに接続し、感染させるプログラムのリストを取得します。リストの内容は亜種によって異なる場合があります。リモートサーバーへの接続に失敗した場合は、初期設定で指定されているアプリケーションを感染させます。以下は、Doctor Webによって調査された Android.InfectionAds.1 のバージョンの1つに含まれるリストの例です。

  • com.whatsapp (WhatsApp Messenger);
  • com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
  • com.mxtech.videoplayer.ad (MX Player);
  • com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
  • com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
  • com.jiochat.jiochatapp (JioChat: HD Video Call);
  • com.jio.join (Jio4GVoice);
  • com.good.gamecollection;
  • com.opera.mini.native (Opera Mini - fast web browser);
  • in.startv.hotstar (Hotstar);
  • com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
  • com.domobile.applock (AppLock);
  • com.touchtype.swiftkey (SwiftKey Keyboard);
  • com.flipkart.android (Flipkart Online Shopping App);
  • cn.xender (Share Music & Transfer Files – Xender);
  • com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
  • com.truecaller (Truecaller: Caller ID, spam blocking & call record);
  • com.ludo.king (Ludo King™).

ソフトウェアを感染させるために、このトロイの木馬はデジタル署名を変更せずに自身のコンポーネントをAPKファイルに埋め込みます。次に、改変されたバージョンのアプリをオリジナルの代わりにインストールします。脆弱性 Janusによって、感染したファイルのデジタル署名は変わらず元のままとなるため、プログラムはそれらのアップデートとしてインストールされます。同時に、脆弱性 EvilParcel が、ユーザーの操作なしにインストールを行うことを可能にします。その結果、感染したソフトウェアは正常な動作を続けますが、その中には Android.InfectionAds.1 の機能するコピーが含まれています。アプリを感染させると、トロイの木馬はそれらのデータにアクセスします。たとえば、 WhatsAppを感染させた場合、トロイの木馬はユーザーのすべてのメッセージにアクセスし、ブラウザを感染させた場合は保存されたログインとパスワードを入手します。

このトロイの木馬を削除し、感染したプログラムのセキュリティを回復させる唯一の方法は、トロイの木馬を含んでいるアプリケーションを削除し、Google Playなどの信頼できるソースから正常なバージョンを再インストールすることです。Dr.Web Security Space for Androidのアップデートされたバージョンでは脆弱性 EvilParcel を検出することができます(この機能は Security Auditor に含まれています)。新しいディストリビューションファイルはDoctor Webの公式サイトからダウンロードすることができます。まもなくGoogle Playからも提供を開始する予定です。Android向けのDr. Web製品はすべて、 Android.InfectionAds.1 の既知の亜種を検出・駆除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

[Android.InfectionAds.1の詳細(英語)]

[EvilParcelの詳細(英語)]

[Janusの詳細(英語)]

#Android #trojan #malware

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F