Trend Micro Security

ANDROIDOS_BANKUN.OPS

2017年7月11日
 解析者: Jordan Pan   
 脅威タイプ:

情報収集型

 プラットフォーム:

AndroidOS

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、モバイル端末上に他のファイルを作成し、実行します。 これは、トレンドマイクロの製品では、不正なコードを組み込んだAndroid端末向けアプリとして検出されます。

  詳細

ファイルサイズ 151398 bytes
メモリ常駐 はい
発見日 2017年4月17日

モバイル端末を狙う不正プログラムの不正活動

マルウェアは、モバイル機器上の以下の情報を収集するファイルです。

  • SMS information
  • contact information
  • imsi
  • phone number
  • bank card information

マルウェアは、HTTP POSTを介して以下のWebサイトに収集した情報を送信します。

  • http://{BLOCKED}.{BLOCKED}.2.242

マルウェアは、以下のファイルを作成および実行します。

  • indicate fake bank apps

マルウェアは、受信された「SMSのメッセージ(以下、テキストメッセージ)」をブロックすることで、ユーザが受信メッセージを閲覧することを不可能にします。

マルウェアは、以下を表示します。

  • fake bank page

マルウェアは、以下のアプリの無料ダウンロードを提供するリモートサイトからダウンロードされるファイルとしてモバイル端末に侵入します。

  • fake bank apps

マルウェアは、インストールされると、以下のパーミッションを要求します。

  • android.permission.ACCESS_WIFI_STATE
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.WAKE_LOCK
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_PHONE_STATE
  • android.permission.SEND_SMS
  • android.permission.RECEIVE_SMS
  • android.permission.READ_CONTACTS
  • android.permission.WRITE_CONTACTS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.MODIFY_PHONE_STATE
  • android.permission.CALL_PHONE
  • android.permission.WRITE_CONTACTS
  • android.permission.WRITE_CALL_LOG
  • com.android.launcher.permission.INSTALL_SHORTCUT
  • com.android.launcher.permission.UNINSTALL_SHORTCUT
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.RESTART_PACKAGES
  • android.permission.GET_TASKS
  • android.permission.KILL_BACKGROUND_PROCESSES
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.READ_LOGS
  • android.permission.VIBRATE
  • android.permission.MODIFY_AUDIO_SETTINGS
  • android.permission.INTERNET
  • android.permission.ACCESS_NETWORK_STATE

これは、トレンドマイクロの製品では、不正なコードを組み込んだAndroid端末向けアプリとして検出されます。

マルウェアは、以下の不正活動を行う機能を備えています。

  • Requests device administrator privilege
  • Once executed, it checks the compromised device for Korean banking applications with the indicated package names
  • Delete and replace any of the indicated official bank applications. It finds with malicious versions with identical package names.
  • The malicious applications allow an attacker to steal the sensitive information (banking details, SMS, contacts, phone number) from the compromised device and upload.

  対応方法

対応検索エンジン: 9.850

トレンドマイクロモバイル機器用セキュリティ対策対応方法

ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。


ご利用はいかがでしたか? アンケートにご協力ください