我々は最近、トロイの木馬「AdSMS」に関する分析を行った。これは先週あたりに広まったもので、最近目にするトロイの木馬化されたAndroidアプリの増加と、興味深いコントラストをなしていると思われる。

  「AdSMS」は、大量送信されたSMSメッセージ内の悪意あるリンクを介して配布される。同SMSは、主要な中国のテレコムネットワークからのもののように偽装されており、ダウンロードリンクは故意に同ネットワークに関連するドメイン名になりすましていることから、このマルウェアは中国本土のAndroidユーザを標的としているようだ。

  「AdSMS」は「セキュリティ脆弱性に関するアップデート」としてプロモートされる。これと全く同じディストリビューションおよびソーシャルエンジニアリング戦略を使用した、Symbianの古いトロイの木馬(例えば「Merogo」や「MapUp」)への逆行のようだ。

  ユーザがリンクをクリックすると、同マルウェアがダウンロードされる。以下はこのトロイの木馬が求めるパーミッションだ:

     

  SMSメッセージを送信する必要があるアップデート? 用心深いユーザはそれに気付き、何かが不適切であると思ってくれると良いのだが。

  いったんインストールされると、「AdSMS」はアプリケーションメニューに自信のアイコンを追加せず、バックグラウンドでひっそりと動作する。ユーザは「Setttings > Applications > Manage Applications」メニューをチェックして、「andiord.system.providers」という名で存在するかどうかを見る必要がある:



  このケースでは、以前「Phone Creeper」や「Flexispy」といったモバイルスパイスイートで見られたタイプではあるものの、またもや古いトリックが使われている。ちなみに、ユーザは「Manage Applications」メニューから、同トロイの木馬を通常のアプリケーションの様にアンインストールすることができる。

  一度インストールされると、このトロイの木馬は携帯電話の詳細を盗み、さらなるファイルをダウンロードするためリモートサイトに接続する。これには以前の「Trojan:AndroidOS/Fakeplayer.A」のようにSMSメッセージを読み書きし、送信する機能も有している。

  したがって、このトロイの木馬のトリックには本質的に、何ら新しいところはないが、我々が見た中で、Androidプラットフォームでそうしたトリックを試みた最初のトロイの木馬ではある。

  エフセキュアのAndroidセキュリティ製品は、これを「Trojan:AndroidOS/AdSMS.A」として検出している。

Threat Solutions post by — Irene