Androidマルウェアが現在、大流行しているようだ。分析を行っている際に突然現れたため、我々が論じてきた2、3の興味深い問題について、若干のコメントがある。
最初に:公式Androidマーケットで発見された疑わしいアプリケーションに関して、最近報告があった。問題のアプリはマーケットから削除されているが、エフセキュアのスレットハンティングチームは今もフォーラムなどで、通常「無料アプリ」として遭遇している。
これらのアプリケーション自身は、単なるゲームのように見える。しかしある時点で、追加サービスがアプリに追加されたようだ。以前のバージョンではインターネット接続以外、何も求めなかったのだ:
しかし最近のバージョンでは、それよりも若干パーソナルなものになる:
こうした変化により、同アプリはデバイスからさまざまな情報にアクセス可能になる。キャリアや国、デバイスのID、メールアドレスおよび電話番号などだ。
こうした情報はリモートサーバに送られる。
同アプリのさらなるひねりは、クリックするとユーザがおそらく試したいと思うような、他のアプリに導く小さなアイコンを含んでいるということだ。表示されるこれらのアプリも、同様の疑わしい挙動を示すようだ。
興味深いのは、同アプリの以前の「平凡な」バージョンと最近の「疑わしい」バージョンの双方が、同じデベロッパによるもののようだということだ:
既存のアプリに後日、新たな疑わしい挙動が追加されたようだが、無関係な悪意あるルーチンが加えられた、リパッケージされたアプリではない。我々は現在も、そのさまざまな局面を調べているところだ。今のところ、観測された挙動にもとづき、我々はこれらのアプリケーションを「Spyware:Android/SndApps.A」として検出している。
Androidアプリケーション開発、特に「グレイウェア」の発展として考えられることから、我々は今回のケースに興味を感じている。この種の挙動は、我々の以前の予測の一つを裏付けている。「世間に認められた」開発者は、疑わしい/不要な/非倫理的なルーチンを含み、ユーザのプライバシーを侵害するかもしれないアップデートを配信することができる、というものだ。
この新たに追加されたルーチンには、マーケティング広告やスパムなど、他の目的で使用することができるユーザ情報の獲得も含まれる。最悪の場合、これらの詳細はサードパーティに販売されるかもしれない。我々には、これらの情報がどうされるのか知るすべは無い。
より最近のケースでは、報告された他のAndroidアプリ、今回はトロイの木馬の奇妙な挙動について議論している。
このトロイの木馬はSMSメッセージをインターセプトし、ループバックアドレスに報告するが辻褄の合わない話だ:
我々の調査では、このアプリはテストプログラムであるようだ。我々はこれを「Trojan:Android/SmsSpy.C」として検出している。
しかし我々のスレットハンターの一人が、より有用であるように見えるファイル(SHA1: 7d8004b107979e159b307a885638e46fdcd54586))を見つけている:
それはより本物の取引のように見える。我々はこれを「Trojan:Android/SmsSpy.D」として検出している。
-----
分析と投稿はZimry、Irene、RaulfおよびLeongによる。
最初に:公式Androidマーケットで発見された疑わしいアプリケーションに関して、最近報告があった。問題のアプリはマーケットから削除されているが、エフセキュアのスレットハンティングチームは今もフォーラムなどで、通常「無料アプリ」として遭遇している。
これらのアプリケーション自身は、単なるゲームのように見える。しかしある時点で、追加サービスがアプリに追加されたようだ。以前のバージョンではインターネット接続以外、何も求めなかったのだ:
しかし最近のバージョンでは、それよりも若干パーソナルなものになる:
こうした変化により、同アプリはデバイスからさまざまな情報にアクセス可能になる。キャリアや国、デバイスのID、メールアドレスおよび電話番号などだ。
こうした情報はリモートサーバに送られる。
同アプリのさらなるひねりは、クリックするとユーザがおそらく試したいと思うような、他のアプリに導く小さなアイコンを含んでいるということだ。表示されるこれらのアプリも、同様の疑わしい挙動を示すようだ。
興味深いのは、同アプリの以前の「平凡な」バージョンと最近の「疑わしい」バージョンの双方が、同じデベロッパによるもののようだということだ:
既存のアプリに後日、新たな疑わしい挙動が追加されたようだが、無関係な悪意あるルーチンが加えられた、リパッケージされたアプリではない。我々は現在も、そのさまざまな局面を調べているところだ。今のところ、観測された挙動にもとづき、我々はこれらのアプリケーションを「Spyware:Android/SndApps.A」として検出している。
Androidアプリケーション開発、特に「グレイウェア」の発展として考えられることから、我々は今回のケースに興味を感じている。この種の挙動は、我々の以前の予測の一つを裏付けている。「世間に認められた」開発者は、疑わしい/不要な/非倫理的なルーチンを含み、ユーザのプライバシーを侵害するかもしれないアップデートを配信することができる、というものだ。
この新たに追加されたルーチンには、マーケティング広告やスパムなど、他の目的で使用することができるユーザ情報の獲得も含まれる。最悪の場合、これらの詳細はサードパーティに販売されるかもしれない。我々には、これらの情報がどうされるのか知るすべは無い。
より最近のケースでは、報告された他のAndroidアプリ、今回はトロイの木馬の奇妙な挙動について議論している。
このトロイの木馬はSMSメッセージをインターセプトし、ループバックアドレスに報告するが辻褄の合わない話だ:
我々の調査では、このアプリはテストプログラムであるようだ。我々はこれを「Trojan:Android/SmsSpy.C」として検出している。
しかし我々のスレットハンターの一人が、より有用であるように見えるファイル(SHA1: 7d8004b107979e159b307a885638e46fdcd54586))を見つけている:
それはより本物の取引のように見える。我々はこれを「Trojan:Android/SmsSpy.D」として検出している。
-----
分析と投稿はZimry、Irene、RaulfおよびLeongによる。
