2014年10月8日

株式会社Doctor Web Pacific

モバイルデバイスを狙ったマルウェアの多くは情報を盗み、所有者をスパイするために設計されています。今回発見されたAndroidトロイの木馬も、正にそのような目的を持ったものでした。ただし、このトロイの木馬は他の同種の脅威と異なり、ある特定のグループに属するユーザーを標的としています。Doctor WebではAndroid.SpyHK.1.originと名付けられた、この悪意のあるプログラムについて解析を行いました。

この新たなAndroidトロイの木馬は、民主的選挙を求める香港のデモ隊の間で拡散されています。このマルウェアは抗議デモの実施場所と連携するプログラムを装うことで、疑われることなく抗議者達のデバイス上に侵入します。

起動されると、Android.SpyHK.1.originはC&Cサーバーとの接続を確立して感染したデバイスに関する大量の情報（OSバージョン、携帯電話番号、IMEI、ハードウェアの仕様など）を送信し、犯罪者からのコマンドを待ちます。このトロイの木馬は多くの機能を備え、受け取ったコマンドに応じて以下の動作を実行します。

• 指定されたディレクトリのコンテンツを読み込む（名前、サイズ、ディレクトリ内のファイルおよびフォルダが最後に変更された日付）
• デバイスのGPS位置情報を取得
• ログファイルにエントリを追加
• 特定のテキストを含んだメッセージをスクリーンに表示
• 指定された番号に発信
• デバイスに関する情報を収集
• 指定されたシェルスクリプトを実行
• コンタクトリストを取得（名前、電話番号、Eメールアドレスを含む）
• SMSにアクセス
• 通話履歴を取得
• スパイされている個人のリストに特定の番号を追加
• 現在スパイされている個人のリストを取得
• 指定されたwebアドレスからファイルをダウンロード
• 特定のファイルをデバイスから削除
• 特定のファイルをC&Cサーバーからアップロード
• 指定された一定時間が経過した後、ボイスレコーダーを起動
• ボイスレコーダーの起動と同時に録音をサーバーソケット上にストリーム配信
• ボイスレコーダーを停止
• 標準メールクライアントのメールデータベースをサーバー上にアップロード
• ブラウザ履歴を取得
• SDカード上のファイルおよびディレクトリに関する情報をC&Cサーバーに送信
• 複数のコマンドを実行することで機密情報を収集し、サーバーへ送信

Android.SpyHK.1.originは他のトロイの木馬スパイとは異なる特殊な機能を備えています。中でも特に、電源管理ウィジェット（パワーコントロールウィジェット）の脆弱性を悪用することでグローバルシステム設定をすり抜け、モバイルデバイスの特定の機能をアクティベートします。この脆弱性は2011年に修正されていますが、最近のOSバージョンで再び発生しているというユーザーからの報告が確認されています。その結果、理論上Android.SpyHK.1.originはユーザーによって無効化されているGPS レシーバーを起動させることができます。

さらに、音声録音をサーバーソケットにストリーミング配信する機能によって、犯罪者は通話の内容をリアルタイムで聞くことができます。セルラーネットワーク上でのデータのやり取りが警察によってブロックされた場合であっても、公衆Wi-Fiスポットさえあれば犯罪者は必要な情報を得ることが可能です。収集された情報のほとんどはリモートサーバーのソケットへ直接送信されます。リモートサーバーが十分なパワーを備えている場合、犯罪者は感染させたスマートフォンやタブレットを強力な監視ネットワークへと変えることで、感染したAndroidの位置とそこで発生している状況についての情報をリアルタイムで取得することができます。

以上のことから、この攻撃は香港のデモ隊および今後のデモ活動についての情報の入手を目的としたものであると考えられます。同様のプログラムが他の国、他の場所で用いられる可能性も否定できません。モバイルデバイスユーザーは十分に注意し、疑わしいアプリケーションをインストールしないようにしてください。

Dr.WebウイルスデータベースにはAndroid.SpyHK.1.originのシグネチャが既に追加されています。そのため、Dr.Web for AndroidおよびDr.Web for Android Lightによって保護されたデバイスに対して危害が及ぶことはありません。