ANDROIDOS_OQX.S
情報収集型
Android OS
- マルウェアタイプ: アドウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
これは、トレンドマイクロでは、感染コンピュータからSMSのメッセージ(以下、テキストメッセージ)を収集または傍受するために利用可能な不正なアプリケーションの検出名です。
詳細
マルウェアは、ユーザにより手動でダウンロードまたはインストールされる可能性があります。
インストール中、マルウェアは複数の「BroadcastReceiver(ブロードキャストレシーバ)」を登録し、さまざまなシステムのイベントを傍受します。
- 新規パッケージインストールやパッケージ削除、システムブート完了
- システムブート完了イベントを傍受することにより、マルウェアは、システムブート完了毎に実行されます。
- 実行されると、マルウェアは以下からファイル"stat.jar"をダウンロードします。
- http://x<省略>xx.com/res
ただし、このファイルは正規のJARファイルではなく、AESによって暗号化されたodexファイルです。そして、マルウェアは、dynamicによりこのファイルを復号および実行します。
感染デバイスがSMSメッセージを受信する際、マルウェアは「filter」という名前のodexファイルのファンクションを呼び出します。
以下は、odexの「filter」呼び出し機能のスクリーンショットです。
解析中、この「filter」機能は、直接「False」を返す以外は何も実行しませんでした。この機能は、ダウンロードやdynamicで読み込まれたodexファイルにある機能であり、サーバ上の他のodexファイルを加えることで容易に変更され、ユーザのSMSメッセージを収集または傍受します。
以下は、odexの「filter」機能のスクリーンショットです。
「new package added」イベントおよび「package removed」イベントの受信後の活動は同じで、odexファイルの「packageChanged」という名前の機能となります。
以下は、odexの「packageChanged」機能の呼び出しのスクリーンショットです。
以下は、odexの「packageChanged」機能のスクリーンショットです。
対応方法
手順 1
トレンドマイクロモバイル機器用セキュリティ対策対応方法
「ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。
手順 2
Android端末の不要なアプリケーションを削除します。
ご利用はいかがでしたか? アンケートにご協力ください