解析者: Jordan Pan   

 脅威タイプ:

情報収集型, ダウンローダ

 プラットフォーム:

Android OS

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    アドウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

アドウェアは、モバイル端末上に他のファイルを作成し、実行します。 アドウェアは、ポップアップの広告を表示します。

  詳細

ファイルサイズ 19780782 bytes
メモリ常駐 はい
発見日 2017年4月21日

モバイル端末を狙う不正プログラムの不正活動

アドウェアは、モバイル機器上の以下の情報を収集するファイルです。

  • simcard country
  • language
  • os version
  • device name
  • device id
  • installed apps
  • android id
  • email address

またアドウェアは、感染端末から以下の情報を収集します。

  • manufacturer
  • source
  • simcard country
  • product
  • publisher_id
  • simcard operator
  • service id
  • language
  • resolution
  • model
  • os version
  • Device name
  • Device id
  • Installed apps
  • Android id
  • Email Address

アドウェアは、以下の不正なWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • https://{BLOCKED}stlet.com/services/v5/

アドウェアは、HTTP POSTを介して以下のWebサイトに収集した情報を送信します。

  • hxxps://{BLOCKED}stlet[.]com/services/v5/rD

アドウェアは、以下のファイルを作成および実行します。

  • malicious dex

アドウェアは、ポップアップの広告を表示します。

アドウェアは、インストールされると、以下のパーミッションを要求します。

  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.INTERNET
  • android.permission.READ_PHONE_STATE
  • android.permission.WAKE_LOCK
  • android.permission.RECORD_AUDIO
  • android.permission.SYSTEM_ALERT_WINDOW
  • com.google.android.providers.gsf.permission.READ_GSERVICES
  • android.permission.WRITE_SETTINGS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.GET_TASKS
  • android.permission.VIBRATE
  • android.permission.GET_ACCOUNTS
  • android.permission.DISABLE_KEYGUARD
  • com.google.android.c2dm.permission.RECEIVE
  • com.fourvideo.videoshow.videoslide.permission.C2D_MESSAGE

このコードを解析した結果、アドウェアは、以下の機能を備えています。

  • hides its aggressive ad behavior by detecting whether the system is running in an emulator
  • hides its behavior by scanning the user’s email address to check whether it contains the special strings
  • encrypts all constant strings
  • It performs net transmission via HTTPS to prevent its traffic from being caught
  • It uses a wide array of reflection invoking methods
  • It will hide its behavior based on the running environment

アドウェアは、以下の不正活動を行う機能を備えています。

  • download malicious code
  • collect sensitive information
  • popup adds
  • escape from static and dynamic detection

アドウェアは、モバイル機器上の以下の情報を収集するファイルです。

  • SIMカードの国名
  • 使用言語
  • オペレーティングシステム(OS)のバージョン
  • デバイス名
  • デバイスID
  • インストールされたアプリ
  • AndroidのID
  • Eメールアドレス

アドウェアは、感染端末から以下の情報を収集します。

  • 製造業者
  • アプリなどのダウンロード先(ソース)
  • SIMカードの国名
  • 製品名
  • パブリッシャーID
  • SIMカードの事業者
  • サービスID
  • 言語
  • 画面解像度
  • モデル
  • OSのバージョン
  • デバイス名
  • デバイスID
  • インストールされたアプリ
  • AndroidのID
  • Eメールアドレス

このコードを解析した結果、アドウェアは、以下の機能を備えています。

  • アドウェアは、システムが仮想環境上で動作していることを確認することで、自身の広告表示機能を隠ぺいします。
  • アドウェアは、ユーザのEメールをチェックし、すべて定数列を暗号化する特別な文字列が含まれていることを確認することで、自身の活動を隠ぺいします。
  • アドウェアは、自身のトラフィックが検知されることを防ぐため、HTTPSを介してネットワーク送信を実行します。
  • アドウェアは、メソッドを呼び出すさまざまなリフレクションを利用します。
  • アドウェアは、実行されている環境に応じて自身の活動を隠ぺいします。

アドウェアは、以下の不正活動を行う機能を備えています。

  • 不正なコードのダウンロード
  • 個人情報の収集
  • ポップアップ広告の表示
  • 静的および動的検知の回避

  対応方法

対応検索エンジン: 9.850

トレンドマイクロモバイル機器用セキュリティ対策対応方法

ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。


ご利用はいかがでしたか? アンケートにご協力ください