2024年11月12日

株式会社Doctor Web Pacific

Android.FakeAppファミリーに属するトロイの木馬の多くはさまざまなサイトへのリンクを開くことを目的としており、技術的観点から見ると、そのようなマルウェアは極めて原始的であるといえます。これらトロイの木馬は起動されるとコマンドを受け取り、指定されたアドレスのサイトを開きます。その結果、ユーザーの画面にはインストールしたはずのプログラムやゲームの代わりに望まないサイトのコンテンツが表示されます。しかしながら、そのような偽アプリの中にもひときわ目を引くものが出現することがあります。それがAndroid.FakeApp.1669です。Android.FakeApp.1669は、開くべきリンクを含んだ設定を悪意のあるDNSサーバーから受け取るために、改変されたdnsjavaライブラリを使用するという点で他のAndroid.FakeAppトロイの木馬と異なっています。一方で、この設定はトロイの木馬が特定のサービスプロバイダ(モバイルインターネットのプロバイダなど)経由でインターネットに接続している場合にのみ送信され、それ以外の場合、トロイの木馬は一切姿を現しません。

Android.FakeApp.1669 にはさまざまなプログラムを装った多数の亜種が存在します。それらの拡散元の1つとなっているのがGoogle Playで、現時点で明らかになっている亜種が合計で216万回以上ダウンロードされています。

Android.FakeApp.1669 が潜んでいるアプリの例

以下の表は、Doctor WebのマルウェアアナリストによってGoogle Play上で発見された Android.FakeApp.1669 の亜種のリストです。リストに記載されてるものは一部であり、実際にはより多くの Android.FakeApp.1669 が発見されていますが、そのうちのいくつかは現在Google Playから削除されています。

Android.FakeApp.1669 は起動されるとC&CサーバーにDNSリクエストを送信して、ターゲットドメイン名に関連付けられたTXTレコードを受け取ります。ただし、サーバーがトロイの木馬にこのレコードを送信するのは、感染したデバイスが特定のプロバイダ(モバイルインターネットプロバイダなど)経由でインターネットに接続している場合のみです。TXTレコードには通常、ドメインデータと追加の技術的情報が含まれていますが、 Android.FakeApp.1669 の場合はマルウェアの設定がエンコードされています。

Android.FakeApp.1669 はDNSリクエストを送信するためにdnsjavaオープンソースライブラリの改変されたコードを使用します。

Android.FakeApp.1669 のすべての亜種はそれぞれ特定のドメイン名に紐づけられており、DNSサーバーから異なる独自の設定を受け取ることができます。また、これらターゲットドメインのサブドメイン名は感染したデバイスごとに異なるユニークなものとなっています。そこには以下の機密情報を含む、デバイスに関するエンコードされたデータが含まれています。

• デバイスのモデルとメーカー
• 画面サイズ
• ID(2つの数字で構成されており、1つ目はマルウェアがインストールされた時刻、2つ目はランダムな数字)
• デバイスのバッテリーが充電中かどうか、および現在の充電率
• 開発者モードが有効になっているかどうか

例として、アプリ「Goal Achievement Planner」に潜んだ Android.FakeApp.1669 の亜種はドメイン 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com. のTXTレコードを送信するようサーバーにリクエストしており、「Split it: Checks and Tips」に潜んだ亜種はドメイン 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital. の、「DessertDreams Recipes」に潜んだ亜種はドメイン 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com. のTXTレコードをリクエストしていることが、分析の結果明らかになっています。

Android.FakeApp.1669の亜種の1つを分析中に、Linuxの「dig」ツール経由でのリクエストに対してDNSサーバーが返した、ターゲットドメインのTXTレコードの例

これらのTXTレコードの内容は、次の手順で復号化することができます。

• 文字列を反転させる
• Base64データをデコードする
• gzipデータを解凍する
• ÷という文字を挟んで改行する

その結果、次のようなデータを得ることができます(以下の例はアプリ「Goal Achievement Planner」に送信されたTXTレコードのものです)。

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

このデータには、メインインターフェースの前面に表示されるウィンドウ内にトロイの木馬がWebViewで開くリンクが含まれています。このリンクから一連の長いリダイレクトチェーンが発生し、最終的にオンラインカジノのサイトが開きます。こうして、 Android.FakeApp.1669 はGoogle Play上のアプリのページに記載されている機能を実行する代わりに、サイトのコンテンツを表示するWebアプリケーションとして動作するようになります。

うたわれた機能を提供する代わりにオンラインカジノのサイトを表示させるマルウェア

一方で、トロイの木馬のインターネット接続が特定のサービスプロバイダ経由で実行されていない場合(またはオフラインの場合)には、実際にうたわれたアプリとして動作します。ただし、これはその亜種の作成者がそのような場合に備えて機能を組み込んでいた場合に限られます。

C&Cサーバーから設定を受け取らず、普通のアプリとして起動したトロイの木馬

Dr.Web Security Space for mobile devicesは、 Android.FakeApp.1669 の既知の亜種をすべて検出して駆除します。したがって、Dr.Webのユーザーに危害が及ぶことはありません。

Indicators of compromise(侵害の痕跡) ※英語

Android.FakeApp.1669の詳細 ※英語