最近のブログ記事でも取り上げられているように、Android を狙うマルウェアが増加の一途をたどっています。Android.Pjapps もまた、Android デバイスを標的とする、バックドア機能を持ったトロイの木馬です。Android を狙う他の脅威と同様、このマルウェアも、規制されていないサードパーティの Android マーケットプレイスで提供されている、正規のアプリケーションの感染バージョンを通じて拡散しています。
シマンテックでは、Android.Pjapps コードが含まれた数種類のアプリケーションを確認しています。その 1 つに Steamy Window があります。その他の感染した Android アプリケーションと同じように、いったんインストールしてしまうと、正規バージョンと悪意のあるバージョンを見分けることは困難です。しかし、悪意のあるバージョンは、インストール時に過剰な許可を要求するため、その時点で識別することは可能です。以下の画像は、感染していない Steamy Window アプリケーションと、悪意のある Steamy Window アプリケーションのインストールプロセスの違いを示したものです。
正規バージョンも悪意のあるバージョンも、実行すると、Android デバイスの画面に曇りガラス効果が現れます。下の図に示すように、指でワイプして拭くことも可能です。
しかし、悪意のあるバージョンには、さらに別の機能が追加されています。以下のスクリーンショットは、元のアプリケーションのマニフェストにどのような改ざんが加えられているかを示したものです。
Andoroid.Pjapps の目的とは、いくつもの異なるコマンド & コントロール(C&C)サーバーによって制御されるボットネットを構築することです。なかでも、アプリケーションのインストール、Web サイトへの誘導、ブラウザへのブックマークの追加、テキストメッセージの送信、そして任意でテキストメッセージへの応答を遮断するといった操作を行います。
脅威は、ユーザーに気付かれないように、バックグラウンドで動作する独自のサービスを登録します。このサービスは、感染したモバイルデバイスの電波状態が変わると開始され、以下の C&C サーバーに接続して感染を登録しようと試みます。
http://mobile.meego91.com/mm.do?..{パラメータ}
この要求と共に、デバイスから取得した下記のような機密情報も送信します。
その後応答を待ち、命令を受けると、感染したデバイスの IMEI 番号を含むメッセージを以下の URL から取得したモバイル番号に送信します。
http://log.meego91.com:9033/android.log?{パラメータ}
このモバイル番号は、攻撃者によって制御されます。この方法を用いることで、攻撃者はその正体を「クラウド」の中に隠します。
この悪意のあるサービスは、以下の URL を使用して C&C サーバーを定期的にチェックし、コマンドを引き出します。
http://xml.meego91.com:8118/push/newandroidxml/...
Android.Pjapps は、XML ベースのプロトコルを使用します。このプロトコルは、基本的に、一定時期に実行されるタスク(またはコマンド)を定義し、以下のコマンドを実行します。
note
このコマンドは、ほとんどの場合、有料情報サービスの番号にテキストメッセージを送信するために使用されます。モバイル番号とコンテンツを指定する必要があり、以下の 2 つのアクションも実行される可能性があります。
- ブラックリスト登録 - 指定された場合、モバイル番号はリモートサーバーに送信され、ブラックリストに登録されているかどうかがチェックされます。ブラックリストに登録されている場合は、メッセージは送信されません。サービスの URL は、コマンドのパラメータとして送信される必要があり、ブラックリストのチェックは、以下の形式を持つ要求を発行することによって実行されます。
($blacklist_url) + "/?tel=" + モバイル番号
- 応答遮断 - Android.Pjapps は着メッセージもリッスンするので、一定の条件を満たしたときに note コマンドで着メッセージを除外するルールを指定することができます。そうすると、ユーザーが着メッセージを読むことはありません。サポートされるフィルタには、メッセージ開始およびメッセージ終了文字列などがあります。
push
このコマンドは SMSスパムを実行し、以下のパラメータを必要とします。
- <smscontent> - テキストメッセージのコンテンツ
- <smsurl> - メッセージコンテンツの最後に追加する URL
- <tel> - # で区切られた、テキストの送信先モバイル番号
また、ブラックリストに登録されたデバイスのチェックもサポートしています。この場合のアクションは、以下の要求を発行することで実行されます。
($blacklist_url) + "/sim?=" + IMEI
soft
このコマンドは、感染したデバイスにパッケージをインストールするために使用されます。パッケージは、パラメータとしてコマンドと共に送信されるリモート URL からダウンロードされます。
window
このコマンドを実行すると、モバイルデバイスは、指定された Web サイトに誘導されます。Android.Pjapps には優先的に使用されるブラウザがあり、以下のブラウザの有無が確認されます。
- com.uc.browser
- com.tencent.mtt
- com.opera.mini.android
- mobi.mgeek.TunnyBrowser
- com.skyfire.browser
- com.kolbysoft.steel
- com.android.browser
mark
mark コマンドは、感染したデバイスにブックマークを追加するために使用されます。サービスの初回起動時に、Android.Pjapps がデフォルトで以下のブックマークをデバイスに追加するようです。
- android.paojiao.cn
- ct2.paojiao.cn
- g3g3.cn
xbox
このコマンドは、Android.Pjapps の解析コードで検出されていますが、実装はされていないようです。
上記のドメインはいずれも、現時点ではアクティブではないようなので、Android.Pjapps と C&C サーバーとの間のトラフィックは調査できていません。しかし、この脅威の機能を見ると、広告キャンペーンをプッシュし、サードパーティの有料情報サービスを用いて、感染したデバイスから利益を得るよう設計されているものと思われます。
このような悪意のある Android アプリケーションの被害を受けないために、Android アプリケーションのダウンロードとインストールには、公式の Android マーケットプレイスだけを使うようにしてください。また、Android OS のアプリケーション設定には、公式のマーケットプレイス以外のアプリケーションのインストールをしないオプションもあるので、この種の攻撃を防ぐ効果があります。マーケットプレイスでユーザーの評価を確認することも、アプリケーションの安全性を判断するうえで有効です。また、どんな Android アプリケーションをインストールする場合でも、インストール時に要求されるアクセス許可は必ず確認してください。アプリケーションの用途に比べてアクセス許可の要求が多すぎると思われる場合には、インストールを中止することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。