McAfee Blog
マカフィー株式会社公式ブログ

McAfee, Inc.

McAfee Labs] 2017年5月10日 更新

マルウェアとして生き続ける中国の動画プレーヤー

 

“Qvod” はかつて中国国内で有名だった動画プレーヤーでしたが、著作権侵害による罰金のためにその開発会社は2014年にアプリの開発および配信を停止しました。それにもかかわらず、最近私たちは数多くの偽Qvodアプリを発見しました。

これらの偽アプリの共通点は、正規アプリのアイコンを流用したり、ポルノ画像をアイコンとして利用することで、ユーザーをだましてインストールさせようとすることです。さらに、この偽アプリでは、ユーザー情報の収集、SMSメッセージの送信や受信SMSのブロック、他のアプリ(マルウェアを含む)のダウンロードおよびデバイス管理者機能の要求といった様々な悪意ある動作が含まれています。

これらの悪意あるアプリは主にフォーラム、違法なビデオサイト、IMグループなどを通じて、「真夜中のビデオプレーヤー」や「アダルトシアタープレーヤー」などのアプリ名称で配布されています。

B

偽Qvodアプリのアイコン

ユーザーがこのマルウェアをインストールし実行すると、デバイス管理者権限の有効化を要求します。ユーザーがこの要求を承諾するまで、全画面でスクリーンを占有し執拗にデバイス管理者権限を要求し続けることでユーザー操作を妨害します。さらに、ユーザーがマルウェアをアンインストールするため端末を操作しようすると強制的にデスクトップ画面に戻されてしまうため、ユーザーは通常の手順ではこのマルウェアをアンインストールすることができません。

1300x2592167x300

デバイス管理者権限の有効化を強制する様子

次にマルウェアは、バックグラウンドでユーザー情報を収集し、攻撃者のサーバーにアップロードしている間に、ユーザーに対してコンテンツの支払いを要求します。また、他のアプリをバックグラウンドでダウンロードしてユーザーにインストールさせるよう促します。

4300x1605300x168

アプリの自動ダウンロードの様子

アンインストール方法

これらのマルウェアアプリは通常の手順ではアンインストールすることができないため、次の手順でマルウェアをアンインストールしてください:

まず、アンインストールを行うために、マルウェアによるスクリーンロックを妨害します。

Picture14

スクリーンロックを妨害するコード

そして、次の方法で、デバイス管理者権限の無効化画面を最前面に移動させます。

Picture23

デバイス管理者権限の画面を最前面に移動するコード

最後に、マルウェアをアンインストールするため、アンインストール画面を最前面に移動させます。

Picture32

アンインストール画面を最前面に移動させるコード

もし万が一、より高度な妨害行為が実装されている亜種に感染してしまった場合には、上記方法ではアンインストールできないかもしれません。その場合には、端末を工場出荷時に戻すか、端末をROOT化した上でアンインストールを試みる必要があるかもしれません。

McAfee Mobile Securityは、この脅威をAndroid/KboVedioとして検出し、ユーザーのモバイル端末を保護します。


※本ページの内容はMcAfee Blogの抄訳です。
原文ː Banned Chinese Qvod Lives on in Malicious Fakes
著者ː Wenfeng Yu

必見 ランサムウェア情報 身代金被害急増中!

Also Find Us On

マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な世界を目指し、企業そして個人向けのセキュリ ティソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。

 

© 2003-2017 McAfee, Inc. All Rights Reserved.