プロのアドバイス:「Certificate.apk」という名前のAndroidアプリケーションパッケージをインストールしないように。

 これは(明らかに)まともなものではない。

 Trojan:Android/Pincer.AはSMSメッセージを転送し、C&Cサーバから受信したコマンドに基づいてさらにアクションを取ることが可能だ。インストールするとアプリケーションメニュー内に「Certificate」として出現し、起動時にはそれっぽい偽りのメッセージを表示する。

Certificate PIN Code

 証明書を装った悪意あるモバイルアプリケーションは、以前は2要素認証を突破することを目的とした、銀行狙いのトロイの木馬のモバイルコンポーネントだった。PincerがSMSメッセージを転送できるということは、もちろんPincerがそのように使われることを意味する。

 Pincerが待ち受けるコマンドは以下のとおりだ。

  •  start_sms_forwarding
  •  start_call_blocking
  •  stop_sms_forwarding
  •  stop_call_blocking
  •  send_sms
  •  execute_ussd
  •  simple_execute_ussd
  •  stop_program
  •  show_message
  •  delay_change
  •  ping

 show_messageコマンドには興味深い双方向性がある。被害者にメッセージを表示する際、C&Cサーバからコマンド自体が送付されるのと同時にメッセージのコンテンツもやってくるのだ。

 このトロイの木馬の発信先はhttp://198.xxx.xxx.xxx:9081/Xq0jzoPa/g_L8jNgO.phpと+4479372xxxxxだ。

 C&Cサーバは電話機のIMEI(International Mobile Equipment Identity)を識別子として用いている。その他、電話番号、デバイスのシリアル番号、電話機のモデル、キャリア、OSのバージョンを含む情報が送信される。

 注目:Pincerは、IMEI、電話番号、オペレータ、電話機のモデルを確認することによってエミュレータ内で実行しているかどうかを確認する(Windowsのマルウェアで使われる一般的な「アンチ分析」技術だ)。

SHA1: 2157fd7254210ef2e8b09493d0e1be3b70d6ce69

 類似サンプルを追加する。

  •  9416551d3965d3918eef3788b0377963d7b77032
  •  1ebfc6f1f3e15773f23083c9d8d54771e28f5680

 そして最後になるが…。

 このトロイの木馬にはUSSDDumbExtendedNetworkServiceというクラスが含まれる。この中の変数URI_AUTHORITYには[○○].comが設定される。そして、この○○にはフランス系カナダ人の実在する会社に関連した単語が入る。もしくは「Android開発者」として雇用されていることをGoogle+ページに記載している若いロシア人のTwitterのハンドルかもしれない。

 我々は「実在する」証拠は何も持っていない…。しかしPincerとカナダは何ら関係ないと確信している。

—————

技術分析 — Mikko Suominen

—————

更新

 データマイニングにより検出されたPincerのサンプルをさらに2つ挙げる。

 1つは本質的に既出のサンプルと同じだが、C&CサーバのURL(https://xxx-xxxxx.com/android_panel/gate.php)および証明書が異なる。これは、すでに見つかっていたサンプルの1つ目より1週間前に、VirusTotalで初めて見られたものだ。

  •  ec14ed31a85f37fad7c7d9c8c0d2aad3a60c8b36

 もう1つはもっと興味深いサンプルだ。明らかにさらに早い時期のバリアントなのだ(VirusTotalに3月19日に提示された)。このバージョンでは証明書を装わない。代わりに「Mobile Security」と名乗っている。

Mobile Security

  •  60e1cd1191e0553f8d02289b96804e4ab48953b3

 このサンプルは起動時にクラッシュするが、静的分析に基づくと、「Mobile Security System is active now. You are protected.」というメッセージが表示されるはずだった。アイコンは他のバリアントと同じだ。パッケージ名は異なる。また、他のサンプルはcom.security.certまたはcom.security.certificateを用いるが、このサンプルはcom.[○○].diverterだ。

 diverter(誘導する)?

 うん…、それこそ「Mobile Security」に必要ない機能だ。