我々は昨日、新たな感染ベクタを使用するとおぼしき「DroidKungfu」サンプルに関する簡単な記事を投稿した。

  お約束通り、より技術的な詳細をご紹介する。

DroidKungFu, Chinese market

  我々が分析しているアプリケーションは「com.ps.keepaccount」という名で、そのコンテンツをざっとチェックしたところ、二、三のことが明らかになった。

  最初に見たところ、オリジナルのアプリケーション(SHA-1: 5e2fb0bef9048f56e461c746b6a644762f0b0b54)に「DroidKungFu」の痕跡は無い。

DroidKungFu, Original install
  コンテンツとインストールのパーミッション

  いったんインストールされると、同アプリケーションはユーザにアップデートが入手可能だと知らせる。そしてユーザがこれをインストールすると、アップデートされたアプリケーションは、「DroidKungFu」マルウェアで発見されたのとよく似た追加機能を獲得する。

  以下のスクリーンショットは、アップデートプロセスで何が起きるかを示している:

droidkungfu_update1droidkungfu_update2droidkungfu_update3

droidkungfu_update4droidkungfu_update5

  オリジナルバージョンと比較して、アップデートされたアプリケーションは、SMSおよびMMSメッセージと、デバイスのロケーションにアクセスできるよう、さらに2つのパーミッションを要求した。

  パーミッションの違いは、アップデートが悪意あるものかどうかを見分ける最良の方法ではないかもしれないが、それでもアプリケーションのアップデートが、別のパーミッションを要求しているかどうか、注意し、疑ってみることは良い方法だ。

  さらに重要なのは、アップデートされたアプリケーションは、ルート権限を得るためにエクスプロイトを使用し、それによりさらに意図せぬ行為が遂行される可能性が生じることだ。

  最後のスクリーンショットで、同アプリケーションが突然停止したことが示されている。これはおそらく、この「DroidKungFu」の亜種がまだ「Android OS version 2.2」用のエクスプロイトを使用しており、テストした端末は「Android OS version 2.3」を使用しているためのエラーが原因だろう。

  以下は、アップデートされたアプリケーションのソースを示す、アップデートプロセス中のパケットキャプチャだ:

droidkungfu_packet_capture

  「SHA-1: 7cd1122966da7bc4adfabb28be6bfae24072c1c6」でアップデートされたアプリケーションのコンテンツのクイックビュー

droidkungfu_encrypted_apk

  この「init.db」ファイルは、実は「DroidKungFu」のスタンドアロンコピーで、データベースファイルではなく、ルート権限を獲得するとアプリケーションがインストールする暗号化されたAPKファイルだ。

  このアプリケーションが実際「DroidKungFu」であることを確認するため、コードを見てみよう:

droidkungfu_verify

  「WP」は、ASCII表示である解読のためのキーで、コンバートされると「Deta_C1*T#RuOPrs」になる。

  更に検証を行ったところ、このアプリケーションが実際に「DroidKungFu」の亜種であることが分かった。我々はこれを2011年8月18日から、「Trojan:Android/DroidKungFu.C」として検出している。

  サンプル(アップデートの前と後の両方)の検証カバレッジをVirusTotalでチェックしたところ、以下の結果が得られた。自身を「DroidKungFu」にアップデートするオリジナルのアプリケーション:

droidkungfu_old_vtscan

  そしてアップデートされたアプリケーション:

droidkungfu_updated_vtscan

Threat Solutions post by /mdash; Zimry, Irene and Yeh

—————

10月25日の追記:この記事は、スクリーンショットに関連する詳細を修正するため、編集された。すなわち、最初の数パラグラフは、このトピックが昨日の記事に関連していることをハッキリさせるため書き直され、リンクはスクリーンショット付きでVirusTotalのスキャンレポートに置き換えられた。