ルートエクスプロイト「Rage Against The Cage」を使用する新たなAndroidマルウェアが発見された。我々はこれを「Trojan:Android/DroidKungFu.A」として検出している。この新たなマルウェアは、自身を隠蔽するため、ルートアクセスを必要とする可能性のある、トロイの木馬化されたアプリケーションに埋め込まれていた。感染は2つのパートで起きる:

感染:パート1

  ルート特権を得て「com.google.ssearch」アプリケーションをインストールする、トロイの木馬化されたアプリケーションのインストールが第1のパートだ。このアプリケーションは、サービス「com.google.ssearch.Receiver」を開始する「Trojan:Android/DroidKungFu.A」のサービスコンポーネントを示している。同サービスの作成で、このアプリケーションは組込形APKをインストールする「getPermission()」ファンクションをコールする。

Droid Kung Fu create

Droid Kung Fu permission

  これは「com.google.ssearch.apk」が既に存在するかどうかをチェックする「checkPermission()」を要求する。もし存在しなければ、「レガシー」ファイルを「system/app」(アプリケーションフォルダ)にインストールする。

Droid Kung Fu check permission

感染:パート2

  主要なマルウェアコンポーネント「com.google.ssearch.apk」を処理するのが第2のパートだ。覚えていると思うが、このコンポーネントはトロイの木馬化されたアプリケーションにも存在した。

  以下は、「com.google.ssearch.apk」のインストールを示すスクリーンショットだ。

Droid Kung Fu screen

  このマルウェアにはバックドア機能があるようだ。以下は我々が確認した機能の一部だ:

  •  execDelete — 供給されたファイルを削除するコマンドを実行する
  •  供給されたホームページをオープンするコマンドを実行する
  •  供給されたAPKをダウンロードし、インストールする
  •  execOpenUrl — 供給されたURLをオープンする
  •  execStartApp — 供給されたアプリケーションパッケージを実行、もしくはスタートする

  「Trojan:Android/DroidKungFu.A」は以下の情報も獲得でき、それをリモートサーバに送ることができる:

  •  imei — IMEIナンバー
  •  ostype — Buildバージョンリリース(例えば2.2)
  •  osapi — SDKバージョン
  •  mobile — ユーザのモバイルナンバー
  •  mobilemodel — 端末モデル
  •  netoperator — ネットワークオペレータ
  •  nettype — ネットワーク接続性のタイプ
  •  managerid — ハードコード値「sp033」
  •  sdmemory — SDカード空きメモリ
  •  aliamemory — 端末空きメモリ

  ルートは1にセットされ、これらの情報は「http://search.gong[...].php」に送信される。

  同マルウェアは「imei」「managerid」およびルート値にポストすることで、「http://search.gong[...].php」からコマンドを取得する。また「imei」「taskid」「state」および「comment」にポストすることで「http://search.gong[...].php」上でコマンドのステータスを報告する。

Threat Solutions post by — Zimry