偽の Google セキュリティパッチで見つかった Android.Bgserv

2011 年 3 月 6 日に Google は、Android.Rootcager による副作用を修復するツールとして、Android マーケットセキュリティツールを公開しました。このツールは、感染したアプリケーションをダウンロードしてインストールしてしまったユーザーのデバイスに自動的にプッシュされます。

シマンテックは、この Android マーケットセキュリティツールの再パッケージ版に疑わしいコードがあることを確認しました。このパッケージは、規制されていない中国のサードパーティマーケットプレイスで発見されたもので、次のアドレスにあるコマンド & コントロールサーバーから指示を受けたときに SMS メッセージを送信する機能を持っているようです。

hxxp://www.youlubg.com:81/Coop/request3.php

アプリケーションの解析は今も進行中ですが、驚くべき事実は、この脅威のコードが Google Code 上にホストされているプロジェクトをベースにしており、Apache License によってライセンスを受けているということです。

http://code.google.com/p/mmsbg/

Google のホスト上に置かれているプロジェクトから、コードの一部を紹介します。

Google の正規アプリケーションにトロイの木馬が仕込まれたこのようなバージョンを検出し、シマンテックは Android.Bgserv として追加しました。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。