ANDROIDOS_SPYGOLD.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。その理由として、このマルウェアが、Android OS搭載のスマートフォン向けの正規のゲームアプリケーションのコピーが「トロイの木馬化」されたものである点、そして感染したモバイル機器の「SMSのメッセージ（以下、テキストメッセージ）」や通話機能に関連する重要な情報を収集し、モバイル機器およびユーザのセキュリティを侵害する点が挙げられます。

このマルウェアは、正規のAndroid向けゲームアプリケーションのコピーがトロイの木馬化されたものです。マルウェアは、感染したモバイル機器に自身のレシーバおよびサービスを挿入し、不正な活動を実行します。

マルウェアは、感染したモバイル機器のテキストメッセージや通話機能に関する重要な情報を収集し、収集した情報をリモートサイトへ送信します。

マルウェアは、不正なWebサイトにアクセスし、不正リモートユーザからコマンドを受信します。

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

マルウェアは、感染コンピュータや感染ユーザから特定の情報を収集します。

侵入方法

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}r.gicp.net

情報漏えい

マルウェアは、以下の情報を収集します。

• Device ID
• Sim Serial Number
• Subscriber ID

その他

マルウェアは、正規のレーシングゲームのアプリケーションのコピーがトロイの木馬化されたものです。マルウェアは、感染したモバイル機器に自身のレシーバおよびサービスを挿入し、不正な活動を実行します。「レシーバ」とは、アプリケーションのコンポーネントであり、「インテント」というアプリケーションを起動するためのパラメータを受け取ります。

モバイル機器が起動される、またはインテント「BOOT_COMPLETED action」をマルウェアのレシーバが受け取ると、「Market」という名称のサービスが起動されることとなります。マルウェアは、このようなサービス名を用いることで、ユーザに正規のサービスであると思い込ませます。

マルウェアは、感染したモバイル機器が受信するテキストメッセージを監視します。メッセージが受信されると、マルウェアは、テキストファイル "ZJSMS.TXT" にメッセージの本文と送信者の番号を記録します。

また、マルウェアは、ユーザの通話の発信および着信を監視します。モバイル機器が通話を発着信すると、マルウェアは、テキストファイル "ZJPHONECALL.TXT" に通話の発信および着信の情報を記録します。マルウェアは、「phone-home」機能を実行し、収集したデバイスIDや加入者ID、SIMカードのシリアル番号といったモバイル機器の情報を以下のWebサイトに送信することにより、自身のインストール先を通知します。

• http://{BLOCKED}r.{BLOCKED}p.net/zj/RegistUid.aspx?

マルウェアは、テキストファイルに記録した情報を、以下のWebサイトにアップロードします。

• http://{BLOCKED}r.{BLOCKED}p.net/zj/upload/UploadFiles.aspx

マルウェアは、以下のWebサイトからコマンドを受信します。

• http://{BLOCKED}r.{BLOCKED}p.net/zj/allotWorkTask.aspx

マルウェアは、以下のコマンドを実行する機能を備えています。

• テキストメッセージの送信
• 通話の開始
• アプリケーションのインストール／アンストール
• ファイルのアップロード

マルウェアは、自身が利用するWebサイトを更新する機能を備えています。