Android.Bgserv を検出したという最初のブログ記事に続いて、シマンテックはトロイの木馬が仕込まれた別のサンプルの活動を確認しました。これらのサンプルの解析によると、アプリケーションに複数のバグがあるようです。トロイの木馬が仕込まれた Google セキュリティツールの場合、Android.Rootcager に感染したシステムを修復する機能はないことが(予想どおりですが)テストで判明しました。
トロイの木馬が仕込まれたアプリケーションには、感染したデバイスの APN 設定を変更するコードも含まれています。次のスクリーンショットは、この変更機能を実行する脅威コードですが、シマンテックが解析したところ、このコードは一度も呼び出されていませんでした。
仮にこの APN 変更コードが呼び出されたとしても、アプリケーションの権限上、要求された変更が許可されないということも判明しています。これは次のスクリーンショットで確認できます。トロイの木馬が仕込まれたアプリケーションのマニフェストを示したものです。 APN 設定を変更しようとするアプリケーションには、android.permission.WRITE_APN_SETTING という権限が必要です。この脅威では、活動していないと見られる興味深いコード部分がほかにも見つかっています。その例が、次のスクリーンショットです。
このコードの目的は、特定の電話番号からの着信を遮断することにあると考えられます。この例で遮断しようとしているのは、中国の大手通信業者のカスタマケアサービスで使われている番号のようです。
この脅威で使われているコマンド & コントロール(C&C)サーバーと、C&C サーバーに送信される情報の例を、次の図に示します。この記事の執筆時点で、この C&C サーバーは活動していますが、コマンドの処理は行っていませんでした。
解析結果から総合的に見て、この脅威が深刻になりうる可能性は否定できないものの、感染したアプリケーションにすべての機能を実装することに攻撃者が失敗しているため、脅威としての潜在的な影響力は小さくなっています。
デバイスが Android.Bgserv に感染しているかどうかを判別する手がかりを、いくつかご紹介します。まず、正規の Android セキュリティツールは自動的にプッシュされ、偽のアプリケーションと違って、アプリケーションメニューに表示されません。
次に、トロイの木馬が仕込まれたツールの場合には、そのツールによって悪質なサービスが起動し、BgService としてバックグラウンドで動作します。
最後に、このような悪質な Android アプリケーションの被害を受けないために、Android アプリケーションのダウンロードとインストールには、公式の Android マーケットプレイスだけを使うようにしてください。また、Android OS のアプリケーション設定には、公式のマーケットプレイス以外のアプリケーションをインストールしないオプションもあるので、この種の攻撃を防ぐ効果があります。マーケットプレイスでユーザーの評価を確認することも、アプリケーションの安全性を判断するうえで有効です。また、どんな Android アプリケーションをインストールする場合でも、インストール時に要求されるアクセス許可は必ず確認してください。アプリケーションの用途に比べてアクセス許可の要求が多すぎると思われる場合には、インストールを中止することをお勧めします。
備考: このブログに情報を提供してくれた Irfan Asrar 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。