様々なオンラインフォーラムで広まっている、より攻撃的な機能を持つ「AdSMS」トロイの木馬の亜種に気づいて以来、我々はずっと、分析のためにより多くのサンプルを探して来た。

  だがそれは容易ではなかった。なぜなら「20以上のAndroidアプリ」の報告が確認されており、それらのほとんどが、既に出回っていないようだったからだ。フォーラムを徹底的に探しまわる必要があったのだが、大部分のユーザにとっては喜ばしいことに、このトロイの木馬を得るのは容易ではなかった。

  分析は現在も進行中だが、我々が入手したサンプルに基づく情報がいくつかある:

  前述の通り、このマルウェアは正規のアプリをトロイの木馬化したバージョンだ。このサンプルでは、紙くずをゴミ箱に捨てるゲームだった。シンプルなゲームだが、これが要求するパーミッションは疑わしい:

permissions

  用心深いユーザは、SMSメッセージを送り、自分の個人情報を読む必要があるゲームに遭遇すれば、不審に思うはずだ。

  いったんインストールされると、このトロイの木馬はプログラムを新しいバージョンに「lightning update in 1 second」(?)で「アップデート」するよう促す:

update request

  アップデートすると、デバイスはリスタートし、マルウェアはアプリケーションフォルダに「appsms.apk」として自身をリストアップするものの、「com.android.battery」にインストールされる。

  同トロイの木馬は、ルートアクセスを獲得するため、既知のエクスプロイト「rageagainstthecage」を含んでおり、バックグラウンドでサービスとして4つの悪意あるクラス「Adsms.Service」「SystemPlus」「MainRun」「ForAlarm」を実行する。

services

  報告されているように、他の機能性もあるようだが、我々は分析を続けると共に、より多くのサンプルを探す予定だ。我々はこれを「Trojan:AndroidOS/AdSMS.B」として検出する。

Threat Solutions post by — Irene