先頃、悪意あるルーチンでリパッケージされたAndroid用Steamy Windowsアプリケーションの中国語版が発見された。(Symantecが良い記事を掲載している。)
新たな亜種を既に作成しているところを見ると、このマルウェアの作者(たち)は、このアプリケーションを好んでいるようだ。これは「Trojan:Android/Pjapps.B」として検出されている。
同亜種をざっと見たところ、SMSの送信、アプリケーションのインストール、ブックマークの追加、C&Cサーバからのコマンドの受け取りなど、悪意ある機能はほぼ変わっていない。
以下に、「Trojan:Android/Pjapps.A」と「Trojan:Android/Pjapps.B」を比較したスクリーンショットを何枚か挙げる:
Trojan:Android/Pjapps.A
Trojan:Android/Pjapps.B
そして以下が両亜種のコードの一部だが、明らかに「Pjapps.A」(左)がオリジナルバージョンであり、「Pjapps.B」(右)が「バージョン2」であることが分かる:
おそらく、最も分かりやすい変更は、新バージョンが「自動的にブートでスタートする」ということだろう。
これは我々が見たAndroidアプリケーションの中で、初めてトロイの木馬化されたものではない(Trojan:Android/Adrd.A)。しかし、Androidマルウェアが増加していること、そしてたぶん、それほど驚くべき事ではないのだろうが、その中心は中国であるらしいという、もう一つの兆候ではある。
我々のAndroid製品は、最新のデータベースアップデートにより、これら二つの亜種を検出している。
- 分析はZimryによる。
新たな亜種を既に作成しているところを見ると、このマルウェアの作者(たち)は、このアプリケーションを好んでいるようだ。これは「Trojan:Android/Pjapps.B」として検出されている。
同亜種をざっと見たところ、SMSの送信、アプリケーションのインストール、ブックマークの追加、C&Cサーバからのコマンドの受け取りなど、悪意ある機能はほぼ変わっていない。
以下に、「Trojan:Android/Pjapps.A」と「Trojan:Android/Pjapps.B」を比較したスクリーンショットを何枚か挙げる:
Trojan:Android/Pjapps.A
Trojan:Android/Pjapps.B
そして以下が両亜種のコードの一部だが、明らかに「Pjapps.A」(左)がオリジナルバージョンであり、「Pjapps.B」(右)が「バージョン2」であることが分かる:
おそらく、最も分かりやすい変更は、新バージョンが「自動的にブートでスタートする」ということだろう。
これは我々が見たAndroidアプリケーションの中で、初めてトロイの木馬化されたものではない(Trojan:Android/Adrd.A)。しかし、Androidマルウェアが増加していること、そしてたぶん、それほど驚くべき事ではないのだろうが、その中心は中国であるらしいという、もう一つの兆候ではある。
我々のAndroid製品は、最新のデータベースアップデートにより、これら二つの亜種を検出している。
- 分析はZimryによる。
