我々はマルウェアが、先に他のオペレーティングシステムで登場し、Androidに移植されるケースを良く見ている。以下はその条件を満たす新たなトロイの木馬だ。

  OpfakeはSymbianとWindows Mobileで、最初に発見された。最近のAndroid版では、同トロイの木馬は(まだ)Opera Miniアプリであるように見える…パーミッションのリクエストは、SMSメッセージを送信することだけだ:

Android OpFake, permission

  同アプリ(我々は「Trojan:Android/OpFake.D」として検出している)は、ローンチの際メッセージを送信することが分かった:

Android OpFake, SMS

  以前のケースでは通常、クラスにハードコードされたSMSメッセージを見かけたが、今回はメッセージコンテンツと電話番号は「config.xml」ファイルに保存され、エンコードされる。以下は文字化けしたコードだ:

Android OpFake, garbled code

  このストリングはbase64デコーディングを使用してデコードされると読み出し可能となり、実行時にメッセージがアプリにより送信されることを示している:

Android OpFake, decoded code /><br /><br />  このAndroid版(SHA1: 4b4af6d0dfb797f66edd9a8c532dc59e66777072)は、そのコンフィギュレーションファイルをエンコードするopFakeの「伝統」を受け継いでおり、新しいものではない。しかしこれは、分析からコードやアクションを隠すため、ますますエンコーディングや他のテクニック(他のプラットフォームで長年標準だったもの)を使用する、Androidマルウェアの現在のトレンドに当てはまっている。<br /><br />ThreatSolutions post by — Irene<br /><br /><div style=
ThreatSolutions post by — Irene

>>原文へのリンク