Trend Micro Security

ANDROIDOS_DORDRAE.O

2011年11月9日
 解析者: Kathleen Notario   

 脅威タイプ:

情報収集型, ダウンローダ

 プラットフォーム:

Android OS

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

これは、Android OS搭載のモバイル機器を標的とするマルウェア「DroidDreamLight」の亜種です。DroidDreamLightファミリは、ソーシャルエンジニアリングの手法の1つとして通知メッセージを表示することで知られています。これにより、ユーザが通知メッセージをクリックし、新たなコンポーネントまたはこのマルウェアの更新版ファイルをダウンロードするよう促します。

これは、トレンドマイクロの製品では、トロイの木馬化されたAndroid端末向けのアプリケーションとして検出されます。マルウェアは、正規のソフトウェアが実行されている間、ユーザに気付かれないよう背後で不正なコードを実行します。感染したモバイル機器が起動した場合や通話の発着信があった場合に、マルウェアのサービス「SystemConfService」が起動します。そしてマルウェアは、特定の情報を収集し、リモートサーバへ送信します。

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。


  詳細

ファイルサイズ 164,504 bytes
タイプ DEX
メモリ常駐 はい
発見日 2011年11月9日
ペイロード 情報収集

侵入方法

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

マルウェアは、以下の方法でコンピュータに侵入します。

  • via Trojanized Android applications

マルウェアは、トロイの木馬化されたAndroid端末向けのアプリケーションを介してコンピュータに侵入します。

その他

これは、トレンドマイクロの製品では、トロイの木馬化されたAndroid端末向けのアプリケーションとして検出されます。マルウェアは、正規のソフトウェアが実行されている間、ユーザに気付かれないよう背後で不正なコードを実行します。感染したモバイル機器が起動した場合や発信または着信があった場合に、マルウェアのサービス 「SystemConfService」 が起動します。そしてマルウェアは、以下の情報を収集します。

  • 感染したモバイル機器のモデル
  • 設定言語
  • 国情報
  • 端末識別番号(IMEI)
  • 国際携帯機器加入者識別情報(IMSI)
  • 「ソフトウェア開発キット(SDK)」のバージョン
  • インストールされているアプリケーションについての情報

マルウェアは、これらの情報を以下のリモートサーバに送信します。

  • http://<省略>6.info/aztc.php
  • http://<省略>u.com/jtwd.php

なお、上述の情報を送信するサーバは、このマルウェアが接続するサーバから受信するデータに応じて変化します。

このマルウェアのコードから、マルウェアは、以下の不正活動を行う機能を備えています。

  • マルウェアは、以下のいずれかの通知メッセージを表示して、ユーザに他のマルウェアをダウンロードするよう促します。
    • Update - マルウェアのパッケージの更新
    • Download - マルウェアが利用するサーバが特定するファイルのダウンロード
    • Market - マルウェアが利用するサーバが特定するAndroid Market内のアプリケーションの表示
    • Web - マルウェアが利用するサーバが特定するURLの表示


  対応方法

対応検索エンジン: 9.200
Trend Micro Mobile Security パターンバージョン: 1.159.00
Trend Micro Mobile Security パターンリリース日: 2011年11月13日

手順 1

トレンドマイクロモバイル機器用セキュリティ対策対応方法

ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。

手順 2

Android端末の不要なアプリケーションを削除します。

[ 詳細 ]

ご利用はいかがでしたか? アンケートにご協力ください