マカフィー株式会社 公式ブログ

McAfee Labs] 2013年2月25日 更新

Google Playに偽のクリーニングアプリ、AutoRun攻撃などを実行

 

約1年前に、Googleは「Androidのセキュリティに新しい層」を追加したと発表しました。コードネームをBouncerとするこのサービスは、Androidマーケットを自動スキャンして、マルウェアである可能性のあるソフトウェアを検出するというものでした。 しかし、Bouncerは機能が不十分であり、Androidマーケットからマルウェアを完全に 排除できるわけではありません。私たちは、2012年にGoogle Playマーケットで、Androidをターゲットにしたマルウェア(Android/DougaLeakerなど)が拡散していることを確認しました。最近では、Smart.Appsという業者が開発した2種類の不正なアプリケーションが、Google Playマーケットで配布されていることが発覚しています。

 

Castillo 20130207 DroidCleanerCastillo 20130207 SuperClean

いずれのアプリケーションも、ブラウザのキャッシュをクリーニングし、ネットワーク設定を”最適化”し、使用されていないログファイルを削除するなどして、Android搭載デバイスを高速化し、応答性を改善する「最適化ソフト」であると謳っています。そして、アプリケーションが実行されると、次に示す偽のユーザーインタフェースが表示されます。

Castillo 20130207 ExecutionCastillo 20130207 Execution2

DroidCleanerは、GUIがさらに凝っています。3種類のクリーニングのオプションが表示され、どのオプションを選択しても、次に示す偽のプログレスバーが表示されます。

Castillo 20130207 FakeProgressBar1Castillo 20130207 FakeProgressBar2

一方、バックグラウンドでは、ユーザーの承諾なしにコントロールサーバーとの通信を確立します。コマンドには、他のAndroidマルウェアでもよく見られる、次のようなアクションが含まれています。

  • デバイスとネットワークの情報(IMEI、IMSI、電話番号)をリモートサーバーに送信する。
  • SMSメッセージを送信、削除する(SMSメッセージを使って、ユーザーを高額レートのサービスに加入させてしまう場合もあります)。
  • 個人の秘密情報(インストール済みのアプリケーション、画像、連絡先、SMSメッセージ、GPS座標)を盗む。
  • SDカード(ファイルとディレクトリ)の内容をマッピングして、後からリモートサーバーにアップロードする。

その他、それほど一般的ではない次のような機能も、利用可能なコマンドとして実装されています。

  • リモートからシェルコマンドを実行する。
  • root化されたデバイスでrebootコマンドを実行して、デバイスを再起動する。
  • ユーザーの承諾なしに、デバイスにインストールされている別のアプリケーションを起動する。
  • 通話の転送を設定するとともに呼び出し音をサイレントに変更し、通話を別の番号に転送している間、ユーザーに気づかれないようにする。

この新しいAndroidマルウェアで最も興味深いコマンドの1つが、UsbAutorunAttackです。このコマンドは、リモートサーバーから3つのファイル(autorun.inf、folder.ico、およびsvchost.exe)をダウンロードし、それをSDカードに配置して、AutoRun機能が有効になっているWindowsに感染させようとするものです。しかし、Windowsの最新版ではデフォルトでAutoRunが無効になっているため、この新しい配布方法は、それほど効果的ではないかもしれません。それでも、Windowsコンピューターの感染を目的としたAndroidマルウェアとは、興味深いことです。

この脅威のもう1つの興味深いコマンドは、CallOutです。このコマンドは、ある特定の電話番号を使ってダイヤラーアプリを起動するものです。このコマンドの実装は、昨年発見された、"Dirty USSD"という脆弱性を思い起こさせます。特殊なUSSDコードとともに使用してAndroidデバイスをワイプできる、"tel:"というプロトコルが使用されているからです。この攻撃が実際に行われた事例は確認されていませんし、この問題はOTA(Over-the-air/無線通信)ソフトウェア更新で、ほとんどのデバイスですでに修正済みですが、Androidの断片化の問題のために、デバイスによってはOSが最新版にアップデートされていない可能性があります。マカフィーでは、デバイスに脆弱性があるかどうか確認できるように、無害なコードを使ってデバイスをテストするテストページを用意しています。デバイスに脆弱性がある場合は、Google PlayからMcAfee Dialer Protectionアプリをダウンロードしてインストールできます。

また、この脅威は、Android(Google)およびDropboxの認証情報を盗み出すフィッシング攻撃も実行します。コントロールサーバーからcreds_attackとcreds_dropboxというコマンドが送信されると、次に示すユーザーインタフェースが表示されます。

Castillo 20130207 Dropbox_Phishing

Castillo 20130207 Android_Phishing

ユーザーが情報を入力して”Loginボタン”をタップすると、"Wrong credentials”(認証情報が正しくありません)というメッセージが表示され、その間に盗まれた認証情報がリモートサーバーに送信されます。

McAfee Mobile Security(マカフィーモバイルセキュリティ)は、このモバイルの脅威をAndroid/Ssucl.Aという名称で検出します。また、Windowsの脅威は、McAfee Internet Security(マカフィーインターネットセキュリティ)McAfee Total Protection(マカフィートータルプロテクション)によって、Generic Dropper.pという名称で検出されます。

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/japan/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.