「これは結構ヤバいのでは!?」と話題の「Geinimi」。
昨年末に、Lookout Mobile Securityの記事で報告され、今後の動向が気になります。
現在のところ、マルウェアの配信元は中国の公式外マーケットのみですので、被害範囲もある程度限定されていると思われます。
今回、配布されているサイトの内の1つを調べてみますと、Geinimiが混入されたアプリケーションは比較的信頼のおける(?)アップロード職人がアップしたものに含まれていました。
#サイトの信頼度は別として・・・
恐らく、アップロードしたユーザも、Geinimiが混入されていることに気付いていないと思われます。
(そもそも、このアプリケーション自体が拾い物の可能性が大きいですが・・・)
また、現在配布されているGeinimi入りアプリケーションが、二次配布されたものと仮定しますと、オリジナルはどこかに存在していることになります。
場合によっては、中国語圏から日本語圏、英語圏と攻撃範囲を拡大してくるかもしれないですね。
Geinimiの動作は、他のサイトで解説されておりますとおり、「位置情報」や「端末情報(端末識別番号や加入者識別子)」などをC&Cサーバへ送信するなどします。
モバイルセキュリティの専門家のご指導のもと、Geinimi入りアプリケーションをバラしてみました。
(apk拡張子はZIP形式)
送信される箇所を参照しますと、端末内の詳細な情報が送信されることが何となく分かると思います。
~/Geinimi_APP/smali/com/dseffects/MonkeyJump2/jump2/e/p.smali ← これ
いずれも既に接続できません。
昨年のZeuSがMITMO(Man in the Mobile)を使ってモバイル・バンキング口座の認証を破ったことがちょっと話題になりました。このときの攻撃対象はブラックベリーなどでしたが、もしAndroid端末を乗っ取られたことを考えますと、日本のような便利機能満載な端末は非常に恐いなぁ・・・と思うのは私だけでしょうか。
今後、スマートフォンの普及率を踏まえますと、さらにAndroid端末を狙ったマルウェアは増加していくことが予想されます。
その多くは、Geinimiのようなアプリケーションに混入するタイプが多いと思っています。
これらの対策としては、Lookoutなどでも記載されているように、
・信頼できるサイトからのみアプリをダウンロードする
・アプリケーションをインストールする際に表示される警告を確認する
・スマートフォンなどの振る舞いに異常がないかどうかチェックする
は勿論のこと、Android端末向けのアンチウイルスソフトウェアをインストールは忘れずにしておきたいところです。
来年にはどうなっているか・・・非常に興味深いですね!
昨年末に、Lookout Mobile Securityの記事で報告され、今後の動向が気になります。
現在のところ、マルウェアの配信元は中国の公式外マーケットのみですので、被害範囲もある程度限定されていると思われます。
今回、配布されているサイトの内の1つを調べてみますと、Geinimiが混入されたアプリケーションは比較的信頼のおける(?)アップロード職人がアップしたものに含まれていました。
#サイトの信頼度は別として・・・
恐らく、アップロードしたユーザも、Geinimiが混入されていることに気付いていないと思われます。
(そもそも、このアプリケーション自体が拾い物の可能性が大きいですが・・・)
また、現在配布されているGeinimi入りアプリケーションが、二次配布されたものと仮定しますと、オリジナルはどこかに存在していることになります。
場合によっては、中国語圏から日本語圏、英語圏と攻撃範囲を拡大してくるかもしれないですね。
Geinimiの動作は、他のサイトで解説されておりますとおり、「位置情報」や「端末情報(端末識別番号や加入者識別子)」などをC&Cサーバへ送信するなどします。
モバイルセキュリティの専門家のご指導のもと、Geinimi入りアプリケーションをバラしてみました。
(apk拡張子はZIP形式)
送信される箇所を参照しますと、端末内の詳細な情報が送信されることが何となく分かると思います。
~/Geinimi_APP/smali/com/dseffects/MonkeyJump2/jump2/e/p.smali ← これ
method=post&IMEI=データの送信先は、SANSでも紹介されている通り、次のドメインです。
&IMSI=
&AdID=
&CPID=
&PTID=
&SALESID=
&msgType=
imei=
&imsi=
&sms=
&type=send
&latitude=
&longitude=
&type=receive
&phone=
&MODEL=%s&BOARD=%s&BRAND=%s&CPU_ABI=%s&DEVICE=%s&DISPLAY=%s&FINGERPRINT=%s&HOST=%s&ID=%s&MANUFACTURER=%s&PRODUCT=%s&TAGS=%s&TIME=%s&TYPE=%s&USER=%s&SoftwareVersion=%s&Line1Number=%s&NetworkCountryIso=%s&NetworkOperator=%s&NetworkOperatorName=%s&NetworkType=%s&PhoneType=%s&SimCountryIso=%s&SimOperator=%s&SimOperatorName=%s&SimSerialNumber=%s&SimState=%s&SubscriberId=%s&VoiceMailNumber=%s&CPID=%s&PTID=%s&SALESID=%s&DID=%s&sdkver=%s&autosdkver=%s&shell=%s
いずれも既に接続できません。
www.widifu.com:8080;www.udaore.com:8080;www.frijd.com:8080;www.islpast.com:8080;攻撃者側の目的は、Android端末の情報であることは容易に想像できますが、これらの情報が何に悪用されようとしているのかが、非常に興味深いところです。
www.piajesj.com:8080;www.qoewsl.com:8080;www.weolir.com:8080;www.uisoa.com:8080;
www.riusdu.com:8080;www.aiucr.com:8080;117.135.134.185:8080
昨年のZeuSがMITMO(Man in the Mobile)を使ってモバイル・バンキング口座の認証を破ったことがちょっと話題になりました。このときの攻撃対象はブラックベリーなどでしたが、もしAndroid端末を乗っ取られたことを考えますと、日本のような便利機能満載な端末は非常に恐いなぁ・・・と思うのは私だけでしょうか。
今後、スマートフォンの普及率を踏まえますと、さらにAndroid端末を狙ったマルウェアは増加していくことが予想されます。
その多くは、Geinimiのようなアプリケーションに混入するタイプが多いと思っています。
これらの対策としては、Lookoutなどでも記載されているように、
・信頼できるサイトからのみアプリをダウンロードする
・アプリケーションをインストールする際に表示される警告を確認する
・スマートフォンなどの振る舞いに異常がないかどうかチェックする
は勿論のこと、Android端末向けのアンチウイルスソフトウェアをインストールは忘れずにしておきたいところです。
来年にはどうなっているか・・・非常に興味深いですね!