2024年11月12日
株式会社Doctor Web Pacific
Android.FakeApp.1669 にはさまざまなプログラムを装った多数の亜種が存在します。それらの拡散元の1つとなっているのがGoogle Playで、現時点で明らかになっている亜種が合計で216万回以上ダウンロードされています。
Android.FakeApp.1669 が潜んでいるアプリの例
以下の表は、Doctor WebのマルウェアアナリストによってGoogle Play上で発見された Android.FakeApp.1669 の亜種のリストです。リストに記載されてるものは一部であり、実際にはより多くの Android.FakeApp.1669 が発見されていますが、そのうちのいくつかは現在Google Playから削除されています。
アプリ名 | ダウンロード数 |
---|---|
Split it: Checks and Tips | 1,000,000+ |
FlashPage parser | 500,000+ |
BeYummy - your cookbook | 100,000+ |
Memogen | 100,000+ |
Display Moving Message | 100,000+ |
WordCount | 100,000+ |
Goal Achievement Planner | 100,000+ |
DualText Compare | 100,000+ |
Travel Memo | 100,000+ (削除済み) |
DessertDreams Recipes | 50,000+ |
Score Time | 10,000+ |
Android.FakeApp.1669 は起動されるとC&CサーバーにDNSリクエストを送信して、ターゲットドメイン名に関連付けられたTXTレコードを受け取ります。ただし、サーバーがトロイの木馬にこのレコードを送信するのは、感染したデバイスが特定のプロバイダ(モバイルインターネットプロバイダなど)経由でインターネットに接続している場合のみです。TXTレコードには通常、ドメインデータと追加の技術的情報が含まれていますが、 Android.FakeApp.1669 の場合はマルウェアの設定がエンコードされています。
Android.FakeApp.1669 はDNSリクエストを送信するためにdnsjavaオープンソースライブラリの改変されたコードを使用します。
Android.FakeApp.1669 のすべての亜種はそれぞれ特定のドメイン名に紐づけられており、DNSサーバーから異なる独自の設定を受け取ることができます。また、これらターゲットドメインのサブドメイン名は感染したデバイスごとに異なるユニークなものとなっています。そこには以下の機密情報を含む、デバイスに関するエンコードされたデータが含まれています。
- デバイスのモデルとメーカー
- 画面サイズ
- ID(2つの数字で構成されており、1つ目はマルウェアがインストールされた時刻、2つ目はランダムな数字)
- デバイスのバッテリーが充電中かどうか、および現在の充電率
- 開発者モードが有効になっているかどうか
例として、アプリ「Goal Achievement Planner」に潜んだ Android.FakeApp.1669 の亜種はドメイン 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com. のTXTレコードを送信するようサーバーにリクエストしており、「Split it: Checks and Tips」に潜んだ亜種はドメイン 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital. の、「DessertDreams Recipes」に潜んだ亜種はドメイン 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com. のTXTレコードをリクエストしていることが、分析の結果明らかになっています。
Android.FakeApp.1669の亜種の1つを分析中に、Linuxの「dig」ツール経由でのリクエストに対してDNSサーバーが返した、ターゲットドメインのTXTレコードの例
これらのTXTレコードの内容は、次の手順で復号化することができます。
- 文字列を反転させる
- Base64データをデコードする
- gzipデータを解凍する
- ÷という文字を挟んで改行する
その結果、次のようなデータを得ることができます(以下の例はアプリ「Goal Achievement Planner」に送信されたTXTレコードのものです)。
url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954
このデータには、メインインターフェースの前面に表示されるウィンドウ内にトロイの木馬がWebViewで開くリンクが含まれています。このリンクから一連の長いリダイレクトチェーンが発生し、最終的にオンラインカジノのサイトが開きます。こうして、 Android.FakeApp.1669 はGoogle Play上のアプリのページに記載されている機能を実行する代わりに、サイトのコンテンツを表示するWebアプリケーションとして動作するようになります。
うたわれた機能を提供する代わりにオンラインカジノのサイトを表示させるマルウェア
一方で、トロイの木馬のインターネット接続が特定のサービスプロバイダ経由で実行されていない場合(またはオフラインの場合)には、実際にうたわれたアプリとして動作します。ただし、これはその亜種の作成者がそのような場合に備えて機能を組み込んでいた場合に限られます。
C&Cサーバーから設定を受け取らず、普通のアプリとして起動したトロイの木馬
Dr.Web Security Space for mobile devicesは、 Android.FakeApp.1669 の既知の亜種をすべて検出して駆除します。したがって、Dr.Webのユーザーに危害が及ぶことはありません。
Indicators of compromise(侵害の痕跡) ※英語
Android.FakeApp.1669の詳細 ※英語
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments