Video Screencast Help
Scheduled Maintenance: Symantec Connect is scheduled to be down Saturday, April 19 from 10am to 2pm Pacific Standard Time (GMT: 5pm to 9pm) for server migration and upgrade.
Please accept our apologies in advance for any inconvenience this might cause.

MDK: 中国で最大のモバイルボットネット

Created: 25 Jan 2013 05:48:38 GMT • Translations available: English
Flora Liu's picture
0 0 Votes
Login to vote

2012 年 2 月のブログで、Android.Bmaster(別名 Rootstrap)についてご報告しました。数十万台のデバイスが感染し、その時点で、それまでに記録された最大のモバイルボットネットでした。最近その Bmaster の規模を上回ったのが、新たに発見された MDK ボットネットです。Android.Troj.mdk と命名され、Kingsoft 社によれば 7,000 種類以上のアプリに潜伏して、最大 100 万台ものデバイスに感染したと考えられています。

シマンテックの解析では、MDK Trojan を Android.Backscript の新しい亜種と判定しています。この脅威のグループの検出定義は 2012 年 9 月に追加されました。MDK のコードは Android.Backscript に酷似しており、APK の署名に使われている証明書も同じです。従来のバージョンと異なるのは、今回の亜種が AES(Advanced Encryption Standard)アルゴリズムを使って、サーバーやコマンドなど、ファイル内のデータを暗号化している点です。

図 1. MDK と Android.Backscript で同じ証明書が使われている

 

図 2. 暗号化されたサーバーやコマンドが含まれるファイル

 

トロイの木馬がインストールされると、攻撃者はユーザーのデバイスをリモート制御できるようになり、ユーザーデータを収集したり、別の APK をダウンロードしたり、迷惑広告を表示したりすることも可能になります。スクリプトや別の APK のダウンロードには、次のサーバーが使われています。

app.looking3g.com

トロイの木馬は、正規のアプリ、たとえば Temple Run や Fishing Joy といった人気ゲームなどに再パッケージ化され、ユーザーを騙してマルウェアのインストールを誘います。検出を回避するために、動的ロード、データの暗号化、コードの不明瞭化といった手段も使われています。

図 3. トロイの木馬が仕掛けられた Temple Run で、データを暗号化する「m」という悪質なサービスが起動

 

シマンテックは、この MDK を Android.Backscript として検出します。この検出定義ですでに 11,000 もの悪質なアプリを検出しています。トロイの木馬が仕掛けられたアプリは、ほとんどが中国のサードパーティマーケットで見つかっていることから、感染は中国に限定されるものと見られます。

Android デバイスをお使いの方は、安全のために、アプリは信頼できる既知のアプリベンダーだけからダウンロードすること、そしてノートン モバイルセキュリティSymantec Mobile Security などのセキュリティアプリをデバイスにインストールすることをお勧めします。スマートフォンやタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。