マルウェアとして生き続ける中国の動画プレーヤー

マルウェア

“Qvod” はかつて中国国内で有名だった動画プレーヤーでしたが、著作権侵害による罰金のためにその開発会社は2014年にアプリの開発および配信を停止しました。それにもかかわらず、最近私たちは数多くの偽Qvodアプリを発見しました。

これらの偽アプリの共通点は、正規アプリのアイコンを流用したり、ポルノ画像をアイコンとして利用することで、ユーザーをだましてインストールさせようとすることです。さらに、この偽アプリでは、ユーザー情報の収集、SMSメッセージの送信や受信SMSのブロック、他のアプリ(マルウェアを含む)のダウンロードおよびデバイス管理者機能の要求といった様々な悪意ある動作が含まれています。

これらの悪意あるアプリは主にフォーラム、違法なビデオサイト、IMグループなどを通じて、「真夜中のビデオプレーヤー」や「アダルトシアタープレーヤー」などのアプリ名称で配布されています。

偽Qvodアプリのアイコン

ユーザーがこのマルウェアをインストールし実行すると、デバイス管理者権限の有効化を要求します。ユーザーがこの要求を承諾するまで、全画面でスクリーンを占有し執拗にデバイス管理者権限を要求し続けることでユーザー操作を妨害します。さらに、ユーザーがマルウェアをアンインストールするため端末を操作しようすると強制的にデスクトップ画面に戻されてしまうため、ユーザーは通常の手順ではこのマルウェアをアンインストールすることができません。

デバイス管理者権限の有効化を強制する様子

次にマルウェアは、バックグラウンドでユーザー情報を収集し、攻撃者のサーバーにアップロードしている間に、ユーザーに対してコンテンツの支払いを要求します。また、他のアプリをバックグラウンドでダウンロードしてユーザーにインストールさせるよう促します。

アプリの自動ダウンロードの様子

 

アンインストール方法

これらのマルウェアアプリは通常の手順ではアンインストールすることができないため、次の手順でマルウェアをアンインストールしてください:

まず、アンインストールを行うために、マルウェアによるスクリーンロックを妨害します。

スクリーンロックを妨害するコード

そして、次の方法で、デバイス管理者権限の無効化画面を最前面に移動させます。

デバイス管理者権限の画面を最前面に移動するコード

最後に、マルウェアをアンインストールするため、アンインストール画面を最前面に移動させます。

アンインストール画面を最前面に移動させるコード

もし万が一、より高度な妨害行為が実装されている亜種に感染してしまった場合には、上記方法ではアンインストールできないかもしれません。その場合には、端末を工場出荷時に戻すか、端末をROOT化した上でアンインストールを試みる必要があるかもしれません。

McAfee Mobile Securityは、この脅威をAndroid/KboVedioとして検出し、ユーザーのモバイル端末を保護します。


※本ページの内容はMcAfee Blogの抄訳です。
原文ː Banned Chinese Qvod Lives on in Malicious Fakes
著者ː Wenfeng Yu

 

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。