2011年が終わろうとしている。先日クリスマスが過ぎ、新年が近付きつつあるため、当然、多くのお見舞いの言葉や季節の挨拶などが送られている。何者かが(少し遅れて)参加しようと決め、同時にちょっとしたデータ収集も行おうと決意したようだ。

  「Spyware:Android/AdBoo.A」は、気のきいた/優しい/面白いメッセージを知人に送れるようにするプログラムの一つだ。実行すると、同プログラムは新年の願いごとや友情、愛情、ジョークといった様々なカテゴリに分類されたテキストメッセージのリストを表示する:

AdBoo text

  ユーザがこれらメッセージの一つを選択すると、同アプリはユーザに連絡先、編集、キャンセルという次の行動を選ぶよう求めるダイアログボックスを表示する:

AdBoo message

  連絡先オプションを選択すると、アプリは保存されている連絡先データを読み込もうとする。おそらく同アプリはメッセージを誰に送るのかを知る必要があるのだろう:

AdBoo choices

  初期解析中、我々のテスト用携帯電話には連絡先が保存されていなかったため、同アプリはこの時点で何も回収しなかった。

  しかし、(偽の)連絡先を使用して再テストすると、テキストメッセージも送られず、ユーザは「送信失敗」というメッセージというダイアログボックスが出るだけだった:

AdBoo sending fail

  我々はしかし、同アプリが何か別のことをしているのに気づいた。連絡先オプションを選択すると、同アプリは以下の情報をこっそりと端末から取得するのだ:

1)端末のモデル
2)Androidのバージョン
3)電話番号
4)国際移動体装置識別番号(IMEI)

  収集された情報は次にリモートサーバに送信される。

  ちなみに、我々の手元にあるAdbooサンプルの証明書を見ると、「Trojan:Android/Zsone.A」と同じ開発者のものであるようだ:

AdBoo:

AdBoo SHA1

Zsone:

Zsone SHA1

Threat Solutions post by — Irene