2、3日前、ミッコが「ADRD」という名の新しいAndroid trojan(我々はこれを「Trojan:Android/Adrd.A」として検出している)についてツイートした。
「Adrd」は、大部分が中国のサードパーティアプリケーションプロバイダによる、いくつかのアプリケーションにトロイの木馬が仕込まれてリパッケージされている状態で発見された。これまでのところ、感染したアプリケーションの大部分は、ウオールペーパー関連のものだ。
以下は、感染したアプリケーションの例だ:
インストールされた「Adrd」が感染したアプリケーションは、以下のようなパーミッションを示すかもしれない:
これらのパーミッションは、端末のスタートアップ中に「Adrd」がそのルーチンを開始することを可能にし、ネットワークデータアクセスの許可/禁止といったデータ接続の変更を行う。パーミッションの中には、SDカード、端末、Access Point Name(APN)設定へのアクセスも含まれる可能性がある。
「Adrd」の機能には、以下のようなリモートホストへの更新が含まれるようだ。
- adrd.tax[..].net
- adrd.xiax[..].com
そして、端末の情報、特に国際移動体装置識別番号(IMEI)と、移動加入者識別番号(IMSI)を送信する。送信されるデータは、DESで暗号化されている。
リモートホストはリンクのリストでリプライする。そのうちの一つを「Adrd」がランダムにセレクトし、内蔵するシンプルな乱数ジェネレータを使用して接続する。選択されたリンクが交信を受けると、定義済みのサーチ文字列を返し、「Adrd」がこれを処理し、バックグラウンドで検索を実行する。
例:
1. 「Adrd」の乱数ジェネレータは、リモートホストから得られるリストの配列を示す数を生成する。例えば http: //59.[...].12.105 /g /g.[...]?w=959a_w1 といったものだ。
2. このリンクは実際、「Adrd」が使用する検索基準を含んでおり、例は以下の様になる:
http://wap.baidu.com/s?word=%e5%[...]e5%89%a7%e7%85%a7 &vit=uni&from=979a
「Adrd」はこれをバックグラウンドで処理し、実行する。
もう一つの機能は、「myupdate.apk」という名のAPKをダウンロードすることで、これは/sdcard/uc /フォルダに保存される。これはおそらく、アップデートコンポーネント用だ。
「Adrd」のネットワークアクセスは、高速データ使用に繋がり、これは結局、高額料金へと結びつく可能性がある。我々は「Adrd」が「cmnet」、「cmwap」(China Mobile Net)、「uniwap」、「uninet」(China Unicom)に接続しているのを確認しており、「Adrd」は中国のマーケットにのみ配布されているようで、中国のネットワークにのみ特有なものである可能性がある。
- 分析はZimry Ongによる。
「Adrd」は、大部分が中国のサードパーティアプリケーションプロバイダによる、いくつかのアプリケーションにトロイの木馬が仕込まれてリパッケージされている状態で発見された。これまでのところ、感染したアプリケーションの大部分は、ウオールペーパー関連のものだ。
以下は、感染したアプリケーションの例だ:
インストールされた「Adrd」が感染したアプリケーションは、以下のようなパーミッションを示すかもしれない:
これらのパーミッションは、端末のスタートアップ中に「Adrd」がそのルーチンを開始することを可能にし、ネットワークデータアクセスの許可/禁止といったデータ接続の変更を行う。パーミッションの中には、SDカード、端末、Access Point Name(APN)設定へのアクセスも含まれる可能性がある。
「Adrd」の機能には、以下のようなリモートホストへの更新が含まれるようだ。
- adrd.tax[..].net
- adrd.xiax[..].com
そして、端末の情報、特に国際移動体装置識別番号(IMEI)と、移動加入者識別番号(IMSI)を送信する。送信されるデータは、DESで暗号化されている。
リモートホストはリンクのリストでリプライする。そのうちの一つを「Adrd」がランダムにセレクトし、内蔵するシンプルな乱数ジェネレータを使用して接続する。選択されたリンクが交信を受けると、定義済みのサーチ文字列を返し、「Adrd」がこれを処理し、バックグラウンドで検索を実行する。
例:
1. 「Adrd」の乱数ジェネレータは、リモートホストから得られるリストの配列を示す数を生成する。例えば http: //59.[...].12.105 /g /g.[...]?w=959a_w1 といったものだ。
2. このリンクは実際、「Adrd」が使用する検索基準を含んでおり、例は以下の様になる:
http://wap.baidu.com/s?word=%e5%[...]e5%89%a7%e7%85%a7 &vit=uni&from=979a
「Adrd」はこれをバックグラウンドで処理し、実行する。
もう一つの機能は、「myupdate.apk」という名のAPKをダウンロードすることで、これは/sdcard/uc /フォルダに保存される。これはおそらく、アップデートコンポーネント用だ。
「Adrd」のネットワークアクセスは、高速データ使用に繋がり、これは結局、高額料金へと結びつく可能性がある。我々は「Adrd」が「cmnet」、「cmwap」(China Mobile Net)、「uniwap」、「uninet」(China Unicom)に接続しているのを確認しており、「Adrd」は中国のマーケットにのみ配布されているようで、中国のネットワークにのみ特有なものである可能性がある。
- 分析はZimry Ongによる。
