解析者: Christopher Daniel So   
 脅威タイプ:

情報収集型, クリック詐欺

 プラットフォーム:

Android OS

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

マルウェアは、レシーバ「BootReceiver」や「AlarmReceiver」を登録します。これらのレシーバは、「MonitorService」と呼ばれるサービスを開始します。このサービスは、不正なサーバと通信し、自身の不正活動を実行するために必要なデータを取得します。

マルウェアは、「SMSReceiver」と呼ばれるレシーバをインストールします。このレシーバは、テキストメッセージの受信のたびに実行されます。マルウェアは、感染モバイル端末から特定の情報を収集します。そして、マルウェアは、収集した情報をHTTP POSTを介して特定のURLに送信します。

マルウェアは、端末識別番号(IMEI)およびモバイル端末のモデル名を含むテキストメッセージをランダムに選ばれた番号に送信します。マルウェアは、特定のURLにアクセスし、さらにデータをダウンロードします。これらのデータは、特定のフィールドに「blogconfig」と呼ばれるテーブルを含む、データベースに保存されます。

マルウェアは、HTTP POSTを介して収集したショート・メッセージ・サービス(SMS)のデータを特定のURLに送信します。マルウェアは、特定のURLから取得した番号およびメッセージの本文を用いたテキストメッセージを送信します。URLおよびタイトルで構成されたデータがサーバから返信されます。それらは感染モバイル端末のブラウザのブックマークに追加されます。

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

  詳細

ファイルサイズ 717,136 bytes
タイプ DEX
発見日 2011年8月4日
ペイロード URLまたはIPアドレスに接続, メッセージの送信

侵入方法

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、以下の方法でコンピュータに侵入します。

  • Trojanized Android gaming application named Coin Pirates

その他

マルウェアは、レシーバ「BootReceiver」や「AlarmReceiver」を登録します。これらのレシーバは、「MonitorService」と呼ばれるサービスを開始します。このサービスは、不正なサーバと通信し、自身の不正活動を実行するために必要なデータを取得します。

マルウェアは、「SMSReceiver」と呼ばれるレシーバをインストールします。このレシーバは、テキストメッセージの受信のたびに実行されます。

マルウェアは、感染モバイル端末から以下の情報を収集します。

  • モバイル端末のモデル名
  • 「ソフトウェア開発キット(SDK)」のバージョン
  • 端末識別番号(IMEI)
  • 国際携帯機器加入者識別情報(IMSI)

そして、マルウェアは、収集した情報をHTTP POSTを介して以下のURLに送信します。

  • http://<省略>id.<省略>bk.info/AndroidInterface/Reg.aspx

マルウェアは、端末識別番号(IMEI)およびモバイル端末のモデル名を含むテキストメッセージを以下の中からランダムに選ばれた番号に送信します。

  • 13521419442
  • 13552040604
  • 13661258744
  • 13521273944
  • 13552040894
  • 13520931794
  • 13520234741
  • 13520234194

マルウェアは、以下のURLにアクセスし、さらにデータをダウンロードします。

  • http://<省略>id.<省略>bk.info/AndroidInterface/BlogDown.aspx

これらのデータは、以下のフィールドに「blogconfig」と呼ばれるテーブルを含む、データベースに保存されます。

  • BlogType
  • KeyWords
  • Charging
  • IsConfirm

フィールド「KeyWords」は、テキストメッセージの受信のたびにマルウェアが参照する文字列を含んでいます。文字列が一致した場合、マルウェアは、フィールド「IsConfirm」の値によってデータの削除、またはサーバ "android.fzbk.info" へのアップロードをします。

マルウェアは、HTTP POSTを介して収集したショート・メッセージ・サービス(SMS)のデータを以下のURLに送信します。

  • http://<省略>id.<省略>bk.info/AndroidInterface/FreeAction.aspx

マルウェアは、以下のURLから取得した番号およびメッセージの本文を用いたテキストメッセージを送信します。

  • http://<省略>id.<省略>bk.info/AndroidInterface/FreeDown.aspx

マルウェアは、以下にアクセスします。

  • http://<省略>id.<省略>bk.info/AndroidInterface/FavDown.aspx

URLおよびタイトルで構成されたデータがサーバから返信されます。それらは感染モバイル端末のブラウザのブックマークに追加されます。

  対応方法

対応検索エンジン: 8.900
Trend Micro Mobile Security パターンバージョン: 1.123.00
Trend Micro Mobile Security パターンリリース日: 2011年8月8日

手順 1

トレンドマイクロモバイル機器用セキュリティ対策対応方法

ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。

手順 2

Android端末の不要なアプリケーションを削除します。

[ 詳細 ]

ご利用はいかがでしたか? アンケートにご協力ください