ANDROIDOS_CURIOUS.HRX

マルウェアは、モバイル端末の情報を収集します。 マルウェアは、不正なファイルをダウンロードします。 マルウェアは、高額の料金が発生するプレミアムサービスの番号に、「SMSのメッセージ（以下、テキストメッセージ）」を送信します。 マルウェアは、モバイル端末上に他のファイルを作成し、実行します。 マルウェアは、ポップアップの広告を表示します。 マルウェアは、一般的なファイルアイコンを用いて、正規のファイルを装います。 これは、トレンドマイクロの製品では、不正なコードを組み込んだAndroid端末向けアプリとして検出されます。

モバイル端末を狙う不正プログラムの不正活動

マルウェアは、モバイル機器上の以下の情報を収集するファイルです。

• phoneNumber
• iMEI
• iMSI
• channel
• chargeKey
• cityInfo
• location

マルウェアは、以下のようなモバイル端末の情報を収集します。

• imei
• imsi
• phone number

マルウェアは、以下の不正なファイルをダウンロードします。

• porn apps

マルウェアは、以下の不正なWebサイトにアクセスし、ファイルをダウンロードします。

マルウェアは、高額料金が発生する以下のいずれかのプレミアムサービス番号にテキストメッセージを送信します。

• 106566660020

マルウェアは、以下のWebサイトへアクセスし、情報を送受信します。

• http://sdk.{BLOCKED}me.com:8880/sdkpay/login
• http://{BLOCKED}t.iread.com.cn:6106/appstore_agent/unistore/servicedata.do?
• http://{BLOCKED}t.iread.com.cn:6106/appstore_agent/getverifycode.do?
• http://{BLOCKED}t.iread.com.cn:6106/appstore_agent/getpassword.do?
• http://{BLOCKED}.{BLOCKED}.196.82:9008/servicedata.do?
• http://{BLOCKED}.{BLOCKED}.227.243:9098/servicedata.do?
• http://{BLOCKED}3rd.iread.com.cn:9055/servicedata.do?
• http://{BLOCKED}.{BLOCKED}.195.14:8089/servicedata.do?
• http://{BLOCKED}d.wo.com.cn/
• http://{BLOCKED}.{BLOCKED}.15.19:8088/servicedata.do?
• http://{BLOCKED}t.iread.com.cn:6106/appstore_agent/unistore/servicedata.do?
• http://{BLOCKED}t.iread.com.cn:6106/appstore_agent/getverifycode.do?
• http://{BLOCKED}t.iread.com.cn:6106/appstore_agent/getpassword.do?
• http://{BLOCKED}.{BLOCKED}.196.82:9008/servicedata.do?
• http://{BLOCKED}.{BLOCKED}.227.243:9098/servicedata.do?
• http://{BLOCKED}3rd.iread.com.cn:9055/servicedata.do?
• http://{BLOCKED}.{BLOCKED}.195.14:8089/servicedata.do?
• http://{BLOCKED}d.wo.com.cn/
• http://{BLOCKED}.{BLOCKED}.15.19:8088/servicedata.do?
• http://{BLOCKED}.{BLOCKED}.4.157:9900/dorecharge3.do
• http://{BLOCKED}.{BLOCKED}.155.254:8080/recharg/itf/getUrlCnf?seriaNo=XX
• http://x.{BLOCKED}o.cn/
• http://{BLOCKED}g.ogengine.com
• http://{BLOCKED}.{BLOCKED}.132.133

マルウェアは、以下のファイルを作成および実行します。

• d_data_wimipay.dat
• LMD.dat

マルウェアは、リモートサイトから転送される「SMSのメッセージ（以下、テキストメッセージ）」を受信する中継として動作します。その結果、感染ユーザは、テキストメッセージの送信に対する身に覚えのない料金を請求される可能性があります。

マルウェアは、受信された「SMSのメッセージ（以下、テキストメッセージ）」をブロックすることで、ユーザが受信メッセージを閲覧することを不可能にします。

マルウェアは、以下を表示します。

• some porn pictures and videos

マルウェアは、アプリが利用されると、以下の画面を表示します。

• adds and porn pictures

マルウェアは、以下のアプリの無料ダウンロードを提供するリモートサイトからダウンロードされるファイルとしてモバイル端末に侵入します。

• some porn apps and 360 browser

マルウェアは、ポップアップの広告を表示します。

マルウェアは、インストールされると、以下のパーミッションを要求します。

• android.permission.ACCESS_ASSISTED_GPS
• android.permission.ACCESS_COARSE_LOCATION
• android.permission.ACCESS_FINE_LOCATION
• android.permission.ACCESS_GPS
• android.permission.ACCESS_LOCATION
• android.permission.ACCESS_MOCK_LOCATION
• android.permission.ACCESS_NETWORK_STATE
• android.permission.ACCESS_WIFI_STATE
• android.permission.BROADCAST_STICKY
• android.permission.CALL_PHONE
• android.permission.CAMERA
• android.permission.CHANGE_CONFIGURATION
• android.permission.CHANGE_NETWORK_STATE
• android.permission.CHANGE_WIFI_STATE
• android.permission.DISABLE_KEYGUARD
• android.permission.FLASHLIGHT
• android.permission.GET_ACCOUNTS
• android.permission.GET_TASKS
• android.permission.INTERACT_ACROSS_USERS_FULL
• android.permission.INTERNET
• android.permission.KILL_BACKGROUND_PROCESSES
• android.permission.MOUNT_UNMOUNT_FILESYSTEMS
• android.permission.READ_CALL_LOG
• android.permission.READ_CONTACTS
• android.permission.READ_EXTERNAL_STORAGE
• android.permission.READ_LOGS
• android.permission.READ_PHONE_STATE
• android.permission.READ_SMS
• android.permission.RECEIVE_BOOT_COMPLETED
• android.permission.RECEIVE_MMS
• android.permission.RECEIVE_SMS
• android.permission.RECEIVE_WAP_PUSH
• android.permission.REORDER_TASKS
• android.permission.RESTART_PACKAGES
• android.permission.RUN_INSTRUMENTATION
• android.permission.SEND_SMS
• android.permission.SET_PROCESS_FOREGROUND
• android.permission.SIGNAL_PERSISTENT_PROCESSES
• android.permission.SYSTEM_ALERT_WINDOW
• android.permission.VIBRATE
• android.permission.WAKE_LOCK
• android.permission.WRITE_APN_SETTINGS
• android.permission.WRITE_EXTERNAL_STORAGE
• android.permission.WRITE_SETTINGS
• android.permission.WRITE_SMS
• com.anddoes.launcher.permission.READ_SETTINGS
• com.android.launcher.permission.INSTALL_SHORTCUT
• com.android.launcher.permission.READ_SETTINGS
• com.android.launcher.permission.UNINSTALL_SHORTCUT
• com.android.launcher.permission.WRITE_SETTINGS
• com.android.launcher2.permission.READ_SETTINGS
• com.android.launcher3.permission.READ_SETTINGS
• com.android.mylauncher.permission.READ_SETTINGS
• com.ebproductions.android.launcher.permission.READ_SETTINGS
• com.fede.launcher.permission.READ_SETTINGS
• com.htc.launcher.permission.READ_SETTINGS
• com.huawei.android.launcher.permission.READ_SETTINGS
• com.huawei.launcher2.permission.READ_SETTINGS
• com.huawei.launcher3.permission.READ_SETTINGS
• com.lenovo.launcher.permission.READ_SETTINGS
• com.lge.launcher.permission.READ_SETTINGS
• com.oppo.launcher.permission.READ_SETTINGS
• com.qihoo360.launcher.permission.READ_SETTINGS
• com.sec.android.app.twlauncher.settings.READ_SETTINGS
• com.tencent.qqlauncher.permission.READ_SETTINGS
• net.qihoo.launcher.permission.READ_SETTINGS
• org.adw.launcher.permission.READ_SETTINGS
• org.adw.launcher_donut.permission.READ_SETTINGS
• org.adwfreak.launcher.permission.READ_SETTINGS

マルウェアは、一般的なファイルアイコンを用いて、正規のファイルを装います。

このコードを解析した結果、マルウェアは、以下の機能を備えています。

• push unwanted adds
• download unwanted apps
• intercept sms
• silent install shortcut

これは、トレンドマイクロの製品では、不正なコードを組み込んだAndroid端末向けアプリとして検出されます。