Android の「Angry Birds」マルウェアに含まれるボットのようなコード


By アンドリュー・ブラント / Andrew Brandt

昨日、脅威調査アナリストの Analyst Armando Orozco と私は、ノース カロライナ州立大学でセキュリティを研究している Xuxian Jiang 氏が発見したマルウェアの調査に 1 日の大半を費やしました。マルウェア作成者が Plankton と名付けたこの悪意のあるコードは、今週初めに Google の Android Market に短期間公開された複数のアプリに埋め込まれていましたが、同氏たちが Google に発見を報告した後で、これらのアプリは直ちに取り下げられました。

Plankton コードが含まれているすべてのアプリは、有名なゲーム シリーズ Angry Birds を対象としていました。私たちが確認した Android アプリの例には、Angry Birds Rio Unlocker v1.0、Angry Birds Multi User v1.00、または Angry Birds Cheater Trainer Helper V2.0 などがあります。

このプログラムを実行すると、画面に次のテキストが表示されます。

Welcome! (ようこそ)

Simply click on the button below to unlock ALL levels in Angry Birds Rio. (下のボタンをクリックすると、Angry Birds Rio のすべてのレベルでロックが解除されます)。This will not delete your scores but might change the number of pineapples and bananas you have (スコアは削除されませんが、手持ちのパイナップルとバナナの数が変わる場合があります)

これらのプログラムに、うたい文句どおりに機能するものはなく、代わりに、インストールされた Android デバイスに、悪意のあるアプリがコードを追加インストールします。この機能が追加されると、悪意のあるアプリを配布したと推定される人物が、リモートからその Android デバイスにアクセスして制御できるようになります。現時点でこの人物は特定されていません。

幸いなことに、このトロイの作成者はコードに目立つラベルを付けていますので、まるでクジラがオキアミをすするように、感染したデバイスからコードを吸い出すことができます。

最近検出されたいくつかの悪意のあるアプリとは異なり、Android に潜むこれらのトロイは、オペレーティング システムのルートまたは管理者のアクセス権取得を目的とした、さまざまな弱点を攻撃するプログラムは起動しません。代わりに、リモート コマンドによって、Android に組み込まれたブラウザーの履歴、ブックマーク、ホームページの設定など、一部のユーザーは機密と考える電話のデータへのアクセス権を未知の犯罪者に与えます。

このアプリは、実行されると指揮管理サーバーとの通信も行い、サーバーから追加の Java .JAR ファイルをダウンロードする指示を受けます。その後、ダウンロードした .JAR ファイルをバックグラウンドで密かにインストールします。これらのペイロードについては、現在分析を進めています。同大学の初期調査結果のレポートによると、このペイロードは、トロイに埋め込まれているリモート アクセス コードを単に再構成して、既存のウイルス対策シグネチャでは検出が多少難しくなるように変更したものです。

最近検出された DroidKungFu など、これまでに公開した新種の Android マルウェアに関する以下の情報に基づき、当社では、Webroot Mobile アプリがインストールされている Android デバイスを Plankton などのトロイから保護しています。

もちろん、Android ユーザーがアプリをダウンロードする際に、ちょっとした常識を働かせるだけで自己防衛することもできます。以下の質問を自分に投げかけてみてください。アプリが保証している機能は、事実にしては都合が良すぎませんか。機能を実現するために必要なはずがない、さまざまな許可を求めていませんか。公式 Market や Amazon など正規の App Store から入手したものではなく、どこか無名のアプリ コレクションから入手したものではないですか。もし、いずれか (またはすべて) の質問に「はい」と答えられる場合は、そのアプリをインストールしないでください。

wordpress blog stats