ANDROIDOS_EXPRESPAM.A
情報収集型
Android OS
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
このAndroid OS を搭載した端末(以下、Android端末)向けマルウェアは、アプリ配信サイト「Google Play」を装うサイトからダウンロードされます。ユーザにアプリをダウンロードし、インストールすることを促すため、このマルウェアが用いる名前に、正規のアプリ名を使い、また正規のアプリに対する説明をこのアプリの説明に利用します。
マルウェアは、ユーザの電話番号や端末に登録されている連絡先の情報を収集します。収集された情報は、それぞれ異なるWebサイトへと送信されます。
詳細
侵入方法
マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}trctrbcbrd.com/play/ebifriday.php
- http://{BLOCKED}trctrbcbrd.com/play/saisokujyuuden.php
- http://{BLOCKED}trctrbcbrd.com/play/check.php
- http://{BLOCKED}trctrbcbrd.com/play/kantannenga.php
- http://{BLOCKED}trctrbcbrd.com/play/miracleface.php
- http://{BLOCKED}trctrbcbrd.com/play/100zettaikisyo.php
- http://{BLOCKED}trctrbcbrd.com/play/fukubukuro.php
- http://{BLOCKED}trctrbcbrd.com/play/iPhone_Converter.php
- http://{BLOCKED}trctrbcbrd.com/play/safe_battery.php
- http://{BLOCKED}trctrbcbrd.com/play/install/wrehifsdkjs.apk
その他
ユーザがマルウェアをインストールすると、マルウェアは、「アプリの初期設定を行っています、しばらくお待ちください」といったメッセージを表示します。端末へのインストールを装う一方で、マルウェアは、ユーザの電話番号や端末に登録されている連絡先といった情報を収集します。
収集されたユーザの電話番号は、以下のWebサイトへ送信されます。
- https://ftukguhilcom.<省略>t.com/cgi-bin/confirmUserData.php
収集された連絡先の情報は、以下のWebサイトへ送信されます。
- https://ftukguhilcom.<省略>t.com/cgi-bin/registerAddressData.php
対応方法
手順 1
Android端末の不要なアプリケーションを削除します。
手順 2
トレンドマイクロモバイル機器用セキュリティ対策対応方法
「ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。
ご利用はいかがでしたか? アンケートにご協力ください