ANDROIDOS_FONCYSMS.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

これは、Android OS搭載のモバイル機器を対象とする、バックドアの機能を備えたマルウェアです。マルウェアは、コマンドを受信するIRC接続を作成するファイルを作成します。そして、感染したユーザのコンピュータのセキュリティが危険にさらされます。また、マルウェアは、高額の料金が発生するサービスを悪用します。その結果、ユーザは、見覚えのない料金が請求されます。

マルウェアは、ゲームアプリケーション "Madden NFL" に類似したアイコンを表示します。実行されると、マルウェアは、他の不正なコンポーネントを作成し、エラーを表示します。

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

侵入方法

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

その他

インストールされると、マルウェアは、ゲームアプリケーション "Madden NFL" に類似したアイコンを表示します。

ただし、マルウェアは、実行されると、他の不正なコンポーネントを作成およびインストールし、以下のエラーメッセージを表示します。

"(0x14) Error - Not registred application."

マルウェアは、以下のフォルダを作成します。そして、すべてのユーザが、読み込み、書き込みおよび実行ができるように設定します。

• /data/data/com.android.bot/files

マルウェアは、作成したフォルダ内に自身のコンポーネントファイルを展開します。

• header01.png - ルート化を行うコンポーネント
• footer01.png - IRCボットの役割をするコンポーネント
• border01.png - 高額の料金が発生するサービスを悪用するコンポーネント

まず、マルウェアは、"header01.png" を実行します。ルート化に成功した場合、マルウェアは、IRCボット "footer01.png" を実行します。そして、マルウェアは、以下のサーバにIRCの接続を確立するように試みます。

• ＜省略＞.＜省略＞.196.198

接続されると、マルウェアは、IRCチャンネル「#andros」に参加します。そして、不正リモートユーザから送信されるコマンドを待機します。

IRCボットは、以下のファイルを実行します。

• border01.png

Android OS搭載のモバイル機器で実行される "border01.png" は、高額の請求が発生するサービスを悪用します。マルウェアは、API「getSimCountryISO」を利用し、ユーザの位置情報を取得します。使用される高額の料金が発生する電話番号およびメッセージは、位置情報によって異なります。

fr (フランス)
電話番号: 81083
メッセージ: ALL

be (ベルギー)
電話番号: 3075
メッセージ: CODE

ch (スイス)
電話番号: 543
メッセージ: GEHEN SP 300

lu (ルクセンブルク)
電話番号: 64747
メッセージ: ACCESS SP

ca (カナダ)
電話番号: 60999
メッセージ: SP

de (ドイツ)
電話番号: 63000
メッセージ: SP 462

es (スペイン)
電話番号: 35024
メッセージ: GOLD

gb (イギリス)
電話番号: 60999
メッセージ: SP2

ma (モロッコ)
電話番号: 2052
メッセージ: CODE

sl (シエラレオネ)
電話番号: 7604
メッセージ: PASS

ro (ルーマニア)
電話番号: 1339
メッセージ: PASS

no (ノルウェー)
電話番号: 2227
メッセージ: PASS

se (スウェーデン)
電話番号: 72225
メッセージ: PASS

us (アメリカ合衆国)
電話番号: 23333
メッセージ: PASS

回答された値が、上記の国でない場合、マルウェアは、電話番号「00000」に、メッセージ「WUUT」を送信します。

マルウェアは、上記の電話番号から送信されるメッセージを遮断します。そして、パラメータを利用した以下のWebサイトへアクセスします。

• http://＜省略＞.＜省略＞.146.102/?=＜高額の料金が発生する電話番号＞///＜メッセージ＞