ANSERVER

「ANSERVER」は、Android OS搭載のモバイル端末を狙いとし、ブロクの投稿内容を読み込み、その内容をコマンドとして処理する機能を備えるマルウェアとして初めて確認されました。また「ANSERVER」は、他のアプリケーションをダウンロードしインストールする機能を備えています。これにより、感染したモバイル端末のセキュリティを侵害します。

「ANSERVER」は、電子書籍リーダのアプリに埋め込まれ、サードパーティのアプリストアを利用して拡散します。「ANSERVER」はまた、感染したモバイル端末から個人情報をコマンド＆コントロール（C&C）サーバへ送信します。

マルウェアは、リモートサーバへ接続し、他の不正なペイロードをユーザのモバイル端末にダウンロードします。そして、ユーザの同意のないままインストールします。

アプリがインストールされると、さまざまな方法で不正なコードが実行されます。

• ネットワーク設定へのアクセス
• インターネットへのアクセス
• バイブレータの操作
• キーロックの無効
• 通話の発信
• 低レベルのログファイルの読み取り
• ユーザーの連絡先データの読み取りおよび書き込み
• アプリケーションの再起動
• モバイル端末の起動
• SMSのメッセージの作成および読み取り、受信、送信

上述の動作が実行されると、不正活動がバックグラウンドで開始されます。

マルウェアは、以下のモバイル端末の情報を収集します。

• ビルドのバージョン
• 端末識別番号（IMEI）
• 国際携帯機器加入者識別情報（IMSI）
• モバイル端末の製造社名
• モバイル端末のモデル
• オペレーティングシステム（OS）のバージョン
• 正規のアプリケーションのパッケージ名
• ソフトウェア開発キット（SDK）のバージョン

マルウェアは、以下のWebサイトにアクセスし、収集した情報の送信やXML 環境設定ファイルの受信を行います。

• http://bolog.{BLOCKED}ditem.cn/s/blog_log.html
• http://b4.{BLOCKED}r.co.cc:8080/jk.action={information}

受信した環境設定ファイルは、このマルウェアの設定およびダウンロードされるパッケージ名、パッケージのダウンロード先URLを含みます。

このマルウェアが読み込むブログ投稿の内容には、暗号化されたメッセージが含まれており、マルウェアはこのメッセージをコマンドとして処理します。またマルウェアは、このブログを利用して他の不正なアプリケーションをダウンロードします。