Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

香港のデモ隊をスパイするAndroidトロイの木馬

2014年10月8日

株式会社Doctor Web Pacific


モバイルデバイスを狙ったマルウェアの多くは情報を盗み、所有者をスパイするために設計されています。今回発見されたAndroidトロイの木馬も、正にそのような目的を持ったものでした。ただし、このトロイの木馬は他の同種の脅威と異なり、ある特定のグループに属するユーザーを標的としています。Doctor WebではAndroid.SpyHK.1.originと名付けられた、この悪意のあるプログラムについて解析を行いました。

この新たなAndroidトロイの木馬は、民主的選挙を求める香港のデモ隊の間で拡散されています。このマルウェアは抗議デモの実施場所と連携するプログラムを装うことで、疑われることなく抗議者達のデバイス上に侵入します。

screen

起動されると、Android.SpyHK.1.originはC&Cサーバーとの接続を確立して感染したデバイスに関する大量の情報(OSバージョン、携帯電話番号、IMEI、ハードウェアの仕様など)を送信し、犯罪者からのコマンドを待ちます。このトロイの木馬は多くの機能を備え、受け取ったコマンドに応じて以下の動作を実行します。

  • 指定されたディレクトリのコンテンツを読み込む(名前、サイズ、ディレクトリ内のファイルおよびフォルダが最後に変更された日付)
  • デバイスのGPS位置情報を取得
  • ログファイルにエントリを追加
  • 特定のテキストを含んだメッセージをスクリーンに表示
  • 指定された番号に発信
  • デバイスに関する情報を収集
  • 指定されたシェルスクリプトを実行
  • コンタクトリストを取得(名前、電話番号、Eメールアドレスを含む)
  • SMSにアクセス
  • 通話履歴を取得
  • スパイされている個人のリストに特定の番号を追加
  • 現在スパイされている個人のリストを取得
  • 指定されたwebアドレスからファイルをダウンロード
  • 特定のファイルをデバイスから削除
  • 特定のファイルをC&Cサーバーからアップロード
  • 指定された一定時間が経過した後、ボイスレコーダーを起動
  • ボイスレコーダーの起動と同時に録音をサーバーソケット上にストリーム配信
  • ボイスレコーダーを停止
  • 標準メールクライアントのメールデータベースをサーバー上にアップロード
  • ブラウザ履歴を取得
  • SDカード上のファイルおよびディレクトリに関する情報をC&Cサーバーに送信
  • 複数のコマンドを実行することで機密情報を収集し、サーバーへ送信

Android.SpyHK.1.originは他のトロイの木馬スパイとは異なる特殊な機能を備えています。中でも特に、電源管理ウィジェット(パワーコントロールウィジェット)の脆弱性を悪用することでグローバルシステム設定をすり抜け、モバイルデバイスの特定の機能をアクティベートします。この脆弱性は2011年に修正されていますが、最近のOSバージョンで再び発生しているというユーザーからの報告が確認されています。その結果、理論上Android.SpyHK.1.originはユーザーによって無効化されているGPS レシーバーを起動させることができます。

さらに、音声録音をサーバーソケットにストリーミング配信する機能によって、犯罪者は通話の内容をリアルタイムで聞くことができます。セルラーネットワーク上でのデータのやり取りが警察によってブロックされた場合であっても、公衆Wi-Fiスポットさえあれば犯罪者は必要な情報を得ることが可能です。収集された情報のほとんどはリモートサーバーのソケットへ直接送信されます。リモートサーバーが十分なパワーを備えている場合、犯罪者は感染させたスマートフォンやタブレットを強力な監視ネットワークへと変えることで、感染したAndroidの位置とそこで発生している状況についての情報をリアルタイムで取得することができます。

以上のことから、この攻撃は香港のデモ隊および今後のデモ活動についての情報の入手を目的としたものであると考えられます。同様のプログラムが他の国、他の場所で用いられる可能性も否定できません。モバイルデバイスユーザーは十分に注意し、疑わしいアプリケーションをインストールしないようにしてください。

Dr.WebウイルスデータベースにはAndroid.SpyHK.1.originのシグネチャが既に追加されています。そのため、Dr.Web for AndroidおよびDr.Web for Android Lightによって保護されたデバイスに対して危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F