Trend Micro Security

ANDROIDOS_WROBA.A

2018年1月25日
 解析者: Jordan Pan   
 プラットフォーム:

Android

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、モバイル端末上に他のファイルを作成し、実行します。 マルウェアは、一般的なファイルアイコンを用いて、正規のファイルを装います。

  詳細

ファイルサイズ 2187321 bytes
メモリ常駐 はい
発見日 2018年1月19日

モバイル端末を狙う不正プログラムの不正活動

マルウェアは、モバイル機器上の以下の情報を収集するファイルです。

  • Phone number
  • Device ID
  • SDK version
  • Manufacturer
  • Bluetooth name
  • Time and date when app was first installed
  • Presence of Softbank/Docomo/Au app

マルウェアは、以下の不正なWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}e-xp.{BLOCKED}y.cc

マルウェアは、以下のWebサイトへアクセスし、情報を送受信します。

  • {BLOCKED}e-xp.{BLOCKED}y.cc

マルウェアは、以下のファイルを作成および実行します。

  • drop fake bank apps

マルウェアは、以下を表示します。

  • Spoofed webpage of the official banking app detected

マルウェアは、インストールされると、以下のパーミッションを要求します。

  • android.permission.INTERNET
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.READ_PHONE_STATE
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.READ_SMS
  • android.permission.BOOT_COMPLETED
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.MOUNT_UNMOUNT_FILESYSTEMS
  • android.permission.MODIFY_AUDIO_SETTINGS
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.RECEIVE_SMS
  • android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
  • android.permission.READ_CONTACTS
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.READ_EXTERNAL_STORAGE

マルウェアは、一般的なファイルアイコンを用いて、正規のファイルを装います。

マルウェアは、以下の不正活動を行う機能を備えています。

  • Lock screen and reset the password as 778877
  • Apply for device admin privilege
  • Parse contact information and upload
  • Get indicated SMS & MMS messages and upload
  • Uninstall detected legitimate banking app and replaced with malicious, fake app
  • Control mute and ringing settings
  • Delete files
  • Hide icon

その他

マルウェアは、モバイル機器上の以下の情報を収集するファイルです。

  • 電話番号
  • 端末ID
  • SDKのバージョン
  • 製造メーカー
  • Bluetooth名
  • アプリが最初のインストールされた日時
  • Softbank/Docomo/auのアプリの存在

マルウェアは、偽のネットバンク関連アプリを作成します。

マルウェアは、公式のネットバンク関連アプリを装ったWebページを表示します。

マルウェアは以下を実行することができます。

  • 画面をロックして、パスワードを”778877”に再設定する
  • 端末の管理者権限の申請する
  • 連絡先情報を解析してアップロードする
  • SMSやMMSを取得してアップロードする
  • 正規のネットバンクのアプリをアンインストールして不正なアプリと入れ替える
  • 音の設定を制御する
  • ファイルを削除する
  • アイコンを隠す

  対応方法

対応検索エンジン: 9.850

トレンドマイクロモバイル機器用セキュリティ対策対応方法

ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。


ご利用はいかがでしたか? アンケートにご協力ください