2016年2月5日
株式会社Doctor Web Pacific
パックはAndroid.Loki.1.origin、Android.Loki.2.origin、Android.Loki.3と名付けられた連携して動作する3つのトロイの木馬で構成されています。Android.Loki.1.originはDr.Web for AndroidによってAndroid.Loki.6として検出されるliblokih.soライブラリを使用して起動され、このライブラリはAndroid.Loki.3によってシステムプロセスの1つに組み込まれます。こうしてAndroid.Loki.1.originはシステム権限を取得します。Android.Loki.1.originは幅広い機能を実行するサービスで、例えば、収益を得ることを目的としたアフィリエイトプログラムのユーザーアカウントを示す特別なリンクを使用して、Google Playからあらゆるアプリケーションをダウンロードすることができます。そのほか、Android.Loki.1.originは以下の動作を実行することが可能です。
- アプリケーションをダウンロード・削除する
- アプリケーションおよびそのコンポーネントを有効または無効にする
- プロセスを終了する
- 通知を表示させる
- あらゆるアプリケーションをAccessibility Serviceアプリケーションとして登録する
- 自身のコンポーネントをアップデートし、プラグインをサーバーからダウンロードする
2つ目のコンポーネントであるAndroid.Loki.2.originは感染させたデバイス上に様々なアプリケーションをインストールし、広告を表示させます。また、以下の情報を収集して送信するスパイウェアとしても動作します。
- IMEI
- IMSI
- MACアドレス
- MCC(Mobile Country Code:国識別コード)
- MNC(Mobile Network Code:事業者識別コード)
- OSのバージョン
- 画像解像度
- デバイス上のRAM の合計容量・空き容量
- OSカーネルのバージョン
- デバイスモデル
- デバイスメーカー
- ファームウェアのバージョン
- デバイスのシリアル番号
情報がサーバーへ送信されると、トロイの木馬はその動作に必要な設定ファイルを受け取ります。Android.Loki.2.originは指定された間隔でサーバーに接続して指示を受け取り、以下の情報を送信します。
- 設定ファイルのバージョン
- Android.Loki.1.originによって実行されたサービスのバージョン
- 現在のシステム言語
- 国
- ユーザーによって作成されたGoogleアカウントに関する情報
その応答としてAndroid.Loki.2.originは、Google Playからダウンロード可能なアプリケーションをインストールするコマンド、または広告を表示させるコマンドのいずれかを受け取ります。トロイの木馬によって表示された通知をタップしてしまったユーザーは特定のWebサイトへとリダレクトされるか、またはソフトウェアをインストールするよう促されます。Android.Loki.2.originはサイバー犯罪者から受け取ったコマンドに応じて以下に関する情報を送信します。
- インストールされているアプリケーションの一覧
- ブラウザの履歴
- 連絡先一覧
- 通話履歴
- 現在の位置
3つ目のコンポーネントであるAndroid.Loki.3はliblokih.so ライブラリをsystem_server プロセス内に組み込み、Android.Lokiファミリーに属するその他のトロイの木馬から受け取ったコマンドをルート権限で実行します。実際のところ、Android.Loki.3はシェルスクリプトを実行するサーバーとして動作します。すなわち、トロイの木馬はサイバー犯罪者から実行するスクリプトへのパスを受け取り、Android.Loki.3がそのスクリプトを実行します。
Android.Lokiトロイの木馬は、そのコンポーネントのいくつかをDr.WebのアクセスできないAndroidシステムフォルダ内に保存します。そのため、感染の影響を取り除くにはOSのオリジナルイメージを使用してデバイスをリフラッシュする必要があります。この動作を実行する前には、デバイス上に保存された重要な情報全てのバックアップコピーを作成するようにしてください。また、経験の浅いユーザーは専門家の指示を仰ぐことを推奨します。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments