我々は課金型のSMS番号にSMSメッセージを送信しようとするAndroid向けトロイの木馬を発見した。それは珍しくはない。しかし、異なっているのは、これらのトロイの木馬が動作しないということだ。

  これらトロイの木馬(「Trojan:Android/RuFailedSMS.A」として検出されている)は、以下のパーミッションを用いる:

RuFailedSMS, permissions

  そして悪意のあるアプリケーションはそれぞれ、(人気のアプリのように思われる)パッケージのダウンロードをオファーし、様々なアプリケーションのインストーラのふりをする:

RuFailedSMS, main UI

  「オファーされる」アプリケーションには以下のものがある:

  •  Add_It_Up
  •  Advanced_Launcher_Lite
  •  AmazingMaze_supLitesup
  •  Analog_Clock_Collection
  •  Animal_Sudoku
  •  AnySoftKeyboard
  •  AnySoftKeyboard_Slovak_Language_Pack
  •  AppInventor_Toggle
  •  Arrow_Caz
  •  Astronomical_Flashlight
  •  BentoCam!
  •  Bimaru_-_Battleship_Sudoku
  •  BlackJack
  •  Carve_a_Pumpkin_supLitesup
  •  Chinese_Chess
  •  Christmas_Ringtones
  •  Coloring_pages
  •  Contact_Finder_supLitesup
  •  Converter
  •  Countdown_Widget
  •  Crayon_Ball
  •  Cyan_aHome_Theme

  幸いなことに、コードに捕捉されなかった例外があるため、同トロイの木馬(SHA1: 0d2d3317c6ca1a9812d357741f45af6bb360d89c)は、その悪意ある活動を完了せず、クラッシュして停止してしまう:

RuFailedSMS, crashed

  我々は100を超えるトロイの木馬のコピーを発見しているが、かなりの数が技術的に高度なものではない。それらのコピーは基本的に同じソースコードを使用しているが、異なるパッケージ用に異なるコンフィギュレーションに改造されているに過ぎないのだ。.

  これらトロイの木馬は、サードパーティのAndroidマーケットで発見されており、ロシア、ベラルーシ、カザフスタンおよびアゼルバイジャンのユーザを標的としている。

  これらのトロイの木馬はクラッシュし、機能しないにしても、悪意あるルーチンのため、またコピーが大量に出回っているためもあって、検出は行っている。

Threat Solutions post by — Jessie