シマンテックは、正規の Android アプリケーションにトロイの木馬が仕込まれたバージョンを検出しました。このバージョンはいわば、予言を行う脅威です。この脅威は、「Holy ***king Bible」というアプリケーションの海賊版に埋め込まれていたものですが、このアプリケーション自体が、その流通に使われたいくつものフォーラムですでに物議をかもしていたものでした。
この脅威は、インストールされるとデバイスが再起動されるまで待機します。デバイスが再起動されると、「theword」というサービスを起動し、定期的にホストサービスに接続して、デバイスの電話番号と通信事業者コードを送信しようとします。次に、リモートサーバーからコマンドの取得を試みます。同じ処理が 33 分間隔で繰り返し実行されます。この脅威はインターネットや SMS 経由でコマンドに応答する機能を持つほか、2011 年 5 月 21 日と 22 日にそれぞれトリガされるように設計された活動が仕組まれています。
残されたいくつかの手掛かりから、この脅威は北米のユーザーを狙ったものであることがわかります。その明らかな証拠は、米国式の日付形式(MMDDYYYY)を確認していることです。つまりこの活動は、日付が「22052011」などの形式ではなく「05222011」形式でないとトリガされないということです。
ほかにも、特定地域のユーザー向けに書かれ、特定の文化でしか通用しない言葉(特有な表現)が含まれているという手掛かりがあります。また、米国に本拠地を置くメーリングリスト(ColbertPAC)にユーザーを登録しようとする点も特徴的でした。そして何より、5 月 21 日に世界が終わるという騒ぎは、ほとんどが北米に限られているということも見逃せません。
西暦 2011 年 5 月 21 日には….
この脅威は日付が 2011 年 5 月 21 日であることを認識するとすぐに mydb.db というデータベースを作成します。
次に、myTable というテーブルに endoftheworld という文字列を書き込みます(これは、デバイスに送信された SMS に対して以下のようなメッセージを自動返信するように SMSsmack クラスに指示するトリガとして使われます)。次に、あらかじめ設定されているいくつかのメッセージからランダムに 1 つを選択し、連絡先リストの全員にスパムを送信します。
最後に、壁紙を次に示す画像に変更します。
日付が翌日の 5 月 22 日に変わったことを検出すると、再び壁紙を変更し、連絡先リストの全員に新しいスパムメッセージを送信します。
シマンテックは、検出されたこの脅威を Android.Smspacem として追加しました。
このような悪質な Android アプリケーションの被害を受けないために、Android アプリケーションのダウンロードとインストールには、公式の Android マーケットプレイスだけを使うようにしてください。Android デバイスのデフォルトでは、未知のソース(つまり、マーケット以外)からアプリケーションをインストールすることは許可されていません。このデフォルト設定は、悪質な恐れがある海賊版アプリケーションを防ぐうえで効果があります。サイドロードとも呼ばれる、非公式(マーケット以外)のアプリケーションのインストールを許可するには、ユーザーがこの設定を手動で変更する必要があります。マーケットプレイスでユーザーの評価を確認することも、アプリケーションの安全性を判断するうえで有効です。また、どんな Android アプリケーションをインストールする場合でも、インストール時に要求されるアクセス許可は必ず確認してください。アプリケーションの用途に比べてアクセス許可の要求が多すぎると思われる場合には、インストールを中止することをお勧めします。
この脅威の詳しい解析をいただいた林薫氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。