ルートエクスプロイト「Rage Against The Cage」を使用する新たなAndroidマルウェアが発見された。我々はこれを「Trojan:Android/DroidKungFu.A」として検出している。この新たなマルウェアは、自身を隠蔽するため、ルートアクセスを必要とする可能性のある、トロイの木馬化されたアプリケーションに埋め込まれていた。感染は2つのパートで起きる:
感染:パート1
ルート特権を得て「com.google.ssearch」アプリケーションをインストールする、トロイの木馬化されたアプリケーションのインストールが第1のパートだ。このアプリケーションは、サービス「com.google.ssearch.Receiver」を開始する「Trojan:Android/DroidKungFu.A」のサービスコンポーネントを示している。同サービスの作成で、このアプリケーションは組込形APKをインストールする「getPermission()」ファンクションをコールする。
これは「com.google.ssearch.apk」が既に存在するかどうかをチェックする「checkPermission()」を要求する。もし存在しなければ、「レガシー」ファイルを「system/app」(アプリケーションフォルダ)にインストールする。
感染:パート2
主要なマルウェアコンポーネント「com.google.ssearch.apk」を処理するのが第2のパートだ。覚えていると思うが、このコンポーネントはトロイの木馬化されたアプリケーションにも存在した。
以下は、「com.google.ssearch.apk」のインストールを示すスクリーンショットだ。
このマルウェアにはバックドア機能があるようだ。以下は我々が確認した機能の一部だ:
• execDelete — 供給されたファイルを削除するコマンドを実行する
• 供給されたホームページをオープンするコマンドを実行する
• 供給されたAPKをダウンロードし、インストールする
• execOpenUrl — 供給されたURLをオープンする
• execStartApp — 供給されたアプリケーションパッケージを実行、もしくはスタートする
「Trojan:Android/DroidKungFu.A」は以下の情報も獲得でき、それをリモートサーバに送ることができる:
• imei — IMEIナンバー
• ostype — Buildバージョンリリース(例えば2.2)
• osapi — SDKバージョン
• mobile — ユーザのモバイルナンバー
• mobilemodel — 端末モデル
• netoperator — ネットワークオペレータ
• nettype — ネットワーク接続性のタイプ
• managerid — ハードコード値「sp033」
• sdmemory — SDカード空きメモリ
• aliamemory — 端末空きメモリ
ルートは1にセットされ、これらの情報は「http://search.gong[...].php」に送信される。
同マルウェアは「imei」「managerid」およびルート値にポストすることで、「http://search.gong[...].php」からコマンドを取得する。また「imei」「taskid」「state」および「comment」にポストすることで「http://search.gong[...].php」上でコマンドのステータスを報告する。
Threat Solutions post by — Zimry
感染:パート1
ルート特権を得て「com.google.ssearch」アプリケーションをインストールする、トロイの木馬化されたアプリケーションのインストールが第1のパートだ。このアプリケーションは、サービス「com.google.ssearch.Receiver」を開始する「Trojan:Android/DroidKungFu.A」のサービスコンポーネントを示している。同サービスの作成で、このアプリケーションは組込形APKをインストールする「getPermission()」ファンクションをコールする。
これは「com.google.ssearch.apk」が既に存在するかどうかをチェックする「checkPermission()」を要求する。もし存在しなければ、「レガシー」ファイルを「system/app」(アプリケーションフォルダ)にインストールする。
感染:パート2
主要なマルウェアコンポーネント「com.google.ssearch.apk」を処理するのが第2のパートだ。覚えていると思うが、このコンポーネントはトロイの木馬化されたアプリケーションにも存在した。
以下は、「com.google.ssearch.apk」のインストールを示すスクリーンショットだ。
このマルウェアにはバックドア機能があるようだ。以下は我々が確認した機能の一部だ:
• execDelete — 供給されたファイルを削除するコマンドを実行する
• 供給されたホームページをオープンするコマンドを実行する
• 供給されたAPKをダウンロードし、インストールする
• execOpenUrl — 供給されたURLをオープンする
• execStartApp — 供給されたアプリケーションパッケージを実行、もしくはスタートする
「Trojan:Android/DroidKungFu.A」は以下の情報も獲得でき、それをリモートサーバに送ることができる:
• imei — IMEIナンバー
• ostype — Buildバージョンリリース(例えば2.2)
• osapi — SDKバージョン
• mobile — ユーザのモバイルナンバー
• mobilemodel — 端末モデル
• netoperator — ネットワークオペレータ
• nettype — ネットワーク接続性のタイプ
• managerid — ハードコード値「sp033」
• sdmemory — SDカード空きメモリ
• aliamemory — 端末空きメモリ
ルートは1にセットされ、これらの情報は「http://search.gong[...].php」に送信される。
同マルウェアは「imei」「managerid」およびルート値にポストすることで、「http://search.gong[...].php」からコマンドを取得する。また「imei」「taskid」「state」および「comment」にポストすることで「http://search.gong[...].php」上でコマンドのステータスを報告する。
Threat Solutions post by — Zimry