Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

電話

+7 (495) 789-45-86

フォーラム(英語)
Profile

ニュース一覧に戻る

Androidシステムプロセスを感染させるトロイの木馬

2016年2月5日

株式会社Doctor Web Pacific


Androidを標的とする悪意のあるプログラムの構造は日に日に複雑化しています。初期に登場したトロイの木馬は比較的単純な構造を持っていましたが、現在ではWindows向けトロイの木馬に匹敵するものとなっています。この2月にはAndroidを標的とする多機能な悪意のあるプログラムのパックがDoctor Webスペシャリストによって発見されました。

パックはAndroid.Loki.1.originAndroid.Loki.2.originAndroid.Loki.3と名付けられた連携して動作する3つのトロイの木馬で構成されています。Android.Loki.1.originはDr.Web for AndroidによってAndroid.Loki.6として検出されるliblokih.soライブラリを使用して起動され、このライブラリはAndroid.Loki.3によってシステムプロセスの1つに組み込まれます。こうしてAndroid.Loki.1.originはシステム権限を取得します。Android.Loki.1.originは幅広い機能を実行するサービスで、例えば、収益を得ることを目的としたアフィリエイトプログラムのユーザーアカウントを示す特別なリンクを使用して、Google Playからあらゆるアプリケーションをダウンロードすることができます。そのほか、Android.Loki.1.originは以下の動作を実行することが可能です。

  • アプリケーションをダウンロード・削除する
  • アプリケーションおよびそのコンポーネントを有効または無効にする
  • プロセスを終了する
  • 通知を表示させる
  • あらゆるアプリケーションをAccessibility Serviceアプリケーションとして登録する
  • 自身のコンポーネントをアップデートし、プラグインをサーバーからダウンロードする

2つ目のコンポーネントであるAndroid.Loki.2.originは感染させたデバイス上に様々なアプリケーションをインストールし、広告を表示させます。また、以下の情報を収集して送信するスパイウェアとしても動作します。

  • IMEI
  • IMSI
  • MACアドレス
  • MCC(Mobile Country Code:国識別コード)
  • MNC(Mobile Network Code:事業者識別コード)
  • OSのバージョン
  • 画像解像度
  • デバイス上のRAM の合計容量・空き容量
  • OSカーネルのバージョン
  • デバイスモデル
  • デバイスメーカー
  • ファームウェアのバージョン
  • デバイスのシリアル番号

情報がサーバーへ送信されると、トロイの木馬はその動作に必要な設定ファイルを受け取ります。Android.Loki.2.originは指定された間隔でサーバーに接続して指示を受け取り、以下の情報を送信します。

  • 設定ファイルのバージョン
  • Android.Loki.1.originによって実行されたサービスのバージョン
  • 現在のシステム言語
  • ユーザーによって作成されたGoogleアカウントに関する情報

その応答としてAndroid.Loki.2.originは、Google Playからダウンロード可能なアプリケーションをインストールするコマンド、または広告を表示させるコマンドのいずれかを受け取ります。トロイの木馬によって表示された通知をタップしてしまったユーザーは特定のWebサイトへとリダレクトされるか、またはソフトウェアをインストールするよう促されます。Android.Loki.2.originはサイバー犯罪者から受け取ったコマンドに応じて以下に関する情報を送信します。

  • インストールされているアプリケーションの一覧
  • ブラウザの履歴
  • 連絡先一覧
  • 通話履歴
  • 現在の位置

3つ目のコンポーネントであるAndroid.Loki.3liblokih.so ライブラリをsystem_server プロセス内に組み込み、Android.Lokiファミリーに属するその他のトロイの木馬から受け取ったコマンドをルート権限で実行します。実際のところ、Android.Loki.3はシェルスクリプトを実行するサーバーとして動作します。すなわち、トロイの木馬はサイバー犯罪者から実行するスクリプトへのパスを受け取り、Android.Loki.3がそのスクリプトを実行します。

Android.Lokiトロイの木馬は、そのコンポーネントのいくつかをDr.WebのアクセスできないAndroidシステムフォルダ内に保存します。そのため、感染の影響を取り除くにはOSのオリジナルイメージを使用してデバイスをリフラッシュする必要があります。この動作を実行する前には、デバイス上に保存された重要な情報全てのバックアップコピーを作成するようにしてください。また、経験の浅いユーザーは専門家の指示を仰ぐことを推奨します。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F