エフセキュアブログ

2011年12月

「Trojan:Android/SMStado.A」と「Trojan:Android/FakeNotify.A」

  今日我々は、二つのAndroid向け課金型SMSトロイの木馬に遭遇した。偶然にも、どちらもロシアのユーザを標的にしたものだ。

  最初に、「Trojan:Android/SMStado.A(SHA1: 718b8fbab302b3eb652ee0a5f43a5a2c5c0ad087)」について。

  通常通り、その性質に関する最初のヒントとなるのは、リクエストされるパーミッションだ:

trojan_android_smstado_a_permission_1 (80k image) trojan_android_smstado_a_permission_2 (64k image)

  実行すると、同トロイの木馬はhttp://[...]6.antiddos.bizに対して以下の詳細をリークする:

  •  国際移動体装置識別番号(IMEI)
  •  パッケージ名
  •  電話番号
  •  端末モデル

trojan_android_smstado_a_code (54k image)

trojan_android_smstado_a_run (67k image) trojan_android_smstado_a_run_2 (58k image)

  これらの詳細は、アプリ・パッケージのres\rawフォルダにも保存される。

  さらに、同アプリが実行される際、ユーザがスクリーン下部のボタンをクリックすると、SMSメッセージが指定された課金型の電話番号に送信される。これまでのところ、すべての番号がロシアの国別コード(特にモスクワエリアのものが多い)を使用している。SMSメッセージにはすべて、以下のテキスト文字列が含まれている:

  •  hm78929201647+1188+51+0+1+b92be

  このトロイの木馬はリモートサイトから、「love_position_v1.5.0.apk」という名のパッケージもダウンロードする:
(SHA1: 9cb4cc996fb165055e57e53ab5293c48567e9765)

trojan_android_smstado_a_download (73k image)

  我々のテストでは、解析エラーのため、ダウンロードされた電話上ではサンプルが動作しなかった:

trojan_android_smstado_a_download_error (22k image)

  しかし、ダウンロード・パッケージを別の、クリーンなテスト用電話機で独立して分析したところ、こちらは起動の際、バックグラウンドで悪意あるサービスも開始するという違いはあるが、「Trojan:Android/SMStado.A」とほとんど同じふるまいをすることが分かった:

trojan_android_smstado_a_service (96k image)

  次のマルウェアは「Trojan:Android/FakeNotify.A」だ。

  これはアップデート通知アプリケーションを装う。以下はアプリが使用するパーミッションと、端末にインストールされる際の様子だ:

trojan_android_fakenotify_permissions (83k image) trojan_android_fakenotify_downloaded (114k image)

メモ:「Stados.A」「FakeNotify.A」のどちらも同じ名前(установка)だが、Google Translateによれば、これは「インストール」という意味だ。アプリを名付けるのに、これらマルウェアの亜種間の関係を示すよりも、一般的な言葉が用いられたということが示されているのだろう。

  いったんインストールされ、実行されると、ユーザの興味をひくために人気のあるモバイルゲームの名を使用して、アプリケーションのダウンロードにユーザの許可を得るメッセージが表示される:

trojan_android_fakenotify_download_ui (36k image)

  「next」ボタンをクリックすると、バックグラウンドでFakeNotifyが直ちに3組のSMSメッセージを送信する。メッセージは、ロシアの課金型の電話番号に送信され、以下のフォーマットのテキスト文字列を含んでいる:

  •  [24 digit string].1/316623

  使用されたSMSの詳細は、アプリケーションから埋め込まれたデータベースファイルに由来する。

  他方でユーザが、アプリケーションのダウンロードを見ることは無い。その代わり、別のスクリーンが表示され、悪意あるものである可能性のある、もっと多くのアプリを提供するWebサイトに導く:

trojan_android_fakenotify_download_agreement (32k image)

FakeNotifyサンプルのSHA1ハッシュ:

  •  28fdc27048d7460cda283c83c1276f3c2f443897
  •  f2eb2af5b289f771996546f65a771df80d4e44da
  •  cdc4b430eb6d6e3a9ce4eb4972e808778c0c7fb1

ThreatSolutions post by — Irene and Jessie

@mikkoと@FSLabsAdvisor(ショーン)によるQ&A

  ミッコと私は、エフセキュアのコミュニティ・マネージャAniaに、Q&Aウィークへ参加するよう頼まれた。そして今週、12月5日から9日まで、我々はエフセキュアのコミュニティフォーラムで質問に回答する。

Q&A with Mikko Hypponen and Sean Sullivan

お断り:12月6日はフィンランドの独立記念日だ… そのため、この日は休日となる。(回答にはもう一日お待ち頂きたい。)

  テクニカル・サポートの質問は、サポートスレッドに書いて欲しい。このQ&Aは、セキュリティもしくはリサーチ関連のトピック用で、サポートの問題には、コミュニティ内に多くの担当者や担当箇所がある。

  だが、セキュリティに関係の無い多少の質問はOKだ。

質問例:12月にフィンランドで暮らすのはどんな感じか?
ショーンの解答:時差ぼけで1カ月苦しむようなものだ(太陽の光がほとんど無いので)。

  ご質問を楽しみにしている。
ショーン

ラップトップ・ステッカー 2011/2012

  我々のコミュニティのラップトップ・ステッカーコンテストへの提案受付は、あと2、3日で締め切る。

  以下は、Twitter経由で頂戴したいくつかの提案だ。

Suggestions

  参加は月曜まで。ツイートしたい場合は、ハッシュタグとして「#FSLS」を使用して欲しい。

  コミュニティでも参加(また、これまでにどんな提案があったかも読むことが)できる。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード