通話内容を記録する最新のAndroidマルウェア:1年間の進化の軌跡

史上初のAndroidマルウェアであるAndroid/FakePlayer.aが確認されてから、1年が経過しました。Android/FakePlayer.aはムービープレーヤーを装っていますが、実際にはムービーを再生しません。代わりに、プレミアSMSの番号にSMSを自動送信し、送信の際に課金された金額は、サイバー犯罪者のアカウントに送金されるというものでした。Android/FakePlayer.aの後、Android/GeinimiAndroid/DRADAndroid/DNightmareAndroid/HippoSMSなどの有名なマルウェアが登場しました。そして、最新のマルウェアがAndroid/NickiSpyです。

これまで、Androidマルウェアの目的は、高額な料金が課金される番号にSMSを送信するか、ユーザーの位置を特定することでした。Android/NickiSpyが他と異なるのは、ユーザーの通話内容を記録し、乗っ取ったユーザーのSDメモリカードに保存できることです。

Android/NickiSpyには、通話記録および通話の種類の監視、デバイスの現在位置の把握、IMEI番号、IPアドレス、ポートの検索など、他のAndroidマルウェアでおなじみの多くの悪質なペイロードが組み込まれています。しかし、このマルウェアの最も興味深い点のひとつは、乗っ取った電話で発着信される通話の内容を記録できることです。また、主に音声ベースのオーディオファイルのエンコードに使われる圧縮テクノロジーである.AMR(Adaptive Multi-Rate)形式で会話を保存できます。

インストール時、Android/NickiSpyはユーザーに以下のパーミッションを求めます。

求められるパーミッションの中で、音声を録音するのに必要なハードウェア制御の許可に注目してください。

アプリケーションをインストールして再起動すると、以下のサービスがバックグラウンドで起動します。

インストール後、構成ファイルが携帯電話に作成されます。このファイルには、通信するコマンドサーバー、ポート番号など、Android/NickiSpyが必要とするすべての情報が格納されています。

Android/NickiSpのペイロードを起動するため、2つのエミュレーターを使用し、片方を管理された環境から呼び出しました。Android/NickiSpは会話を記録し、乗っ取った電話のSDカードに保存しました。

会話内容はSDカードの/sdcard/shangzhou/callrecord/にyyyyMMddHHmmssというフォーマットで保存されました。2011年8月8日PM12:07に行われた通話のファイルは「20110808120727.amr」です。

また、乗っ取ったモバイルデバイスのIMEI番号を検索し、情報を「15859268161」(携帯電話番号)に送信します。

以下はAndroid/NickiSpyのサンプルデモです。

マカフィーのモバイルセキュリティ製品では、このマルウェアを「Android/NickiSpy」という名前で検出します。くれぐれも、見知らぬソフトウェアや信頼できないアプリケーションをインストールしないよう、注意してください。

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。