寄稿者: Yi Li
発見以来、サーバーサイドポリモーフィック型の APK マルウェアとして知られる Android.Opfake は、検出をすり抜けるために利用するポリモーフィズム機能のアルゴリズムを変えながら今も進化を続けています。偽装するアプリケーションの名前も一定ではなく、その悪質なファイルのホストとして無数のドメインを作成しています。Android.Opfake の開発者は今回、メジャーアップグレードを実施したようです。これは、悪質なアプリがインストール中に要求する許可から判断できます。今までの亜種では、次の画面のような許可を求められるのが普通でした。
感染したデバイスの所有者に有料 SMS の料金を請求するという目的でマルウェアが要求するのは、基本的に SMS メッセージ送信の許可だけでした。現在は、連絡先データの読み取り、SD カードのコンテンツの変更/削除、起動時に自動的に開始といった許可も求められるようになっています。
これまでと同様に有料の SMS メッセージを送信するほか、最新の亜種は感染したデバイスの電話番号を既定のサーバーに送信し、攻撃者に感染を通知します。バックグラウンドではバックドアも実行し、SMS 経由でコマンドの受信を待ちます。特定の文字列が含まれるメッセージを受信すると、マルウェアはそのメッセージを攻撃者からのコマンドとして受け取り、命令に応じて以下の処理を実行します。
Android.Opfake はバックグラウンドで稼働することで存続し、デバイスの再起動時には自動的に起動します。マルウェアの更新も含め、ダウンロードした .apk ファイルのインストールを試行するコードも確認されていますが、現在のバージョンではインストールの実行が許可されていません。
Android.Opfake の開発者は、自作のマルウェアに多大な時間と労力を使い続けているので、今回の更新も意外なものではありません。今後も、開発者にとって利益となるかぎり、この進化はさらに続くものと予想されます。シマンテックのノートンモバイルセキュリティは、今回の亜種を Android.Opfake.B として検出します。シマンテックは、Android.Opfake の監視を続け、何か変化があればお知らせする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。