Android.Adrd と Android.Geinimi の比較

最近発見された Android.Adrd について、本来は独自のものであるにもかかわらず、複数のセキュリティ企業がこの脅威を Android.Geinimi と同じ検出名で一括りにしている点は非常に興味深いと感じています。Android.Adrd は、Android デバイスを標的とする、検索エンジンの操作を目的とした初のトロイの木馬です。今日のブログでは、これら 2 つの脅威を比較します。

拡散
どちらの脅威も海賊版ソフトウェアを使用してユーザーのデバイスに感染します。脅威の作成者は、人気のあるアプリケーションを選んでトロイの木馬を仕込み、正常なコンテンツに乗せて悪意のあるコンテンツを配信します。

初期化
どちらの脅威も、起動時に実行されるように自身を登録します。また、Android.Adrd は、通話時またはネットワーク接続設定の変更時にも実行されるように自身を登録します。

機能
Android.Geinimi はデバイス上でバックドアを開きます。電話の発信、SMS メッセージの送信、機密情報の盗用など 20 種類以上の機能を備えています。一方、Android.Adrd の機能はこれに比べ非常に基本的なもののみです。Android.Adrd は、稼働すると、リモートサーバーから一連の文字列を受け取り、バックグラウンドで検索操作を繰り返し実行します（つまり、ユーザーには認識されません）。検索操作は、次の形式の HTTP 要求を介して行われます。
 

wap.baidu.com/s?word=[エンコードされた検索文字列] &vit=uni&from=[ID]

興味深いことに、これらの要求の直接的な目的は、Baidu の Traffic Union プログラムを使用して、「聚焦网（フォーカスオンライン）」として知られる中国のモバイル Web サイトのサイトランキングを上げることです。HTTP 要求により、トロイの木馬の作成者が指定した項目の検索件数が人為的に増え、その結果、特定の検索項目について Baidu 検索エンジンが提示する「お勧めサイト」リストにおける「聚焦网」のランキングを意図的に引き上げることができます。

暗号化
どちらの脅威も DES 暗号化を使用して通信を暗号化します。

お金の流れ
Android.Adrd は回りくどいことはしません。その主要な目的はモバイルデバイスからの検索エンジンの操作とクリック詐欺です。作成者は、脅威が確実に有効であり続けるように、使用されている接続方法（WiFi または 3G アクセス）を識別するルーチンまで追加しています。ここで、巧妙な点は、モバイルデバイスで稼動する不正アプリケーションは、接続方法の切り替えが可能であるため、不正クリックのチェックメカニズムをうまく回避できるという利点を持っていることです。一方で、現在のところ、Android.Geinimi のような明確な金銭目的の動機は見られません。

Android.Adrd はそれほど複雑には見えないとはいえ、攻撃者が必要に応じて機能や動作を更新したり変更したりできる更新機能が組み込まれていることを忘れてはいけません。そのため、モバイルデバイスのウイルス対策製品は必ず最新の状態に維持してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。