エフセキュアブログ

abc を含む記事

TeslaCryptの要約

 2年前、ランサムウェアについての一連のブログ記事を公開した折には、活発なランサムウェア・ファミリーは一握りしかなかった。しかしながら今年は、ランサムウェアがサイバー犯罪者達を熱狂させる最新の流行マルウェアとなった。

 そのため、我々は当社の若きTET(訳注:後述)の生徒Miroに、ランサムウェアの歴史、とりわけTeslaCryptの歴史についての短いレッスンを受けさせようと考えた。なぜならTeslaCryptは、いまだに流行っている、比較的「古い」ランサムウェアの1つだからだ。

 以下は、その彼の研究結果だ。


 TeslaCryptはランサムウェア・ファミリーに分類される。ランサムウェアが被害者のコンピュータに侵入すると、被害者のファイルを暗号化する。サイバー犯罪者たちが求めるもの、つまり金を得るまでは、暗号化したファイルはそのままだ。

 TeslaCryptは支払い方法としてBitcoinに加え、初めてPayPal My Cash Cardを追加したものの1つだ。

 TeslaCryptは通常のドキュメントや画像のファイルを暗号化するだけでなく、ビデオゲーム関連のファイルも標的にすることで知られるようになった。とりわけCall of Duty、Minecraft、League of Legends、Steamに関連付けられたファイルだ。

 これまでのところ、TeslaCryptには4つのバージョンがある。2015年2月に最初に発見され、最新のものは2016年3月に特定された。

 最初のバージョンでは、RSA-2048を用いていると称していたが、実際には暗号化方式としてAESを使用していた。暗号化されたファイルの名前には、.ECCという拡張子が付けられた。

Your presonal files are encrypted!

What happened to your files?

 TeslaCryptの2つ目のバージョン、つまりTeslaCrypt 2.0は、2015年7月辺りに出現した。同バージョンでもやはりAESを用いているのにも関わらず、RSA-2048のアルゴリズムを採用していると主張していた。暗号化されたファイルの拡張子は変更され、たとえば.VVVや.ABCといったものになった。身代金の要求も変わった。HTMLページ、テキストファイル、壁紙またはフォトギャラリー中の画像の3つの異なるフォーマットで提示される。この2つのバージョン間の違いは、文章だけでなく脅迫メッセージの外観に見て取れる。読みやすくするために、タイトルと章が追加された。新たな身代金の要求では、支払いまでの残り時間のカウントダウンも削除された。

TeslaCrypt 2 - What happened to your files?

 TeslaCrypt 3.0は2016年1月に発見された。TeslaCrypt 3.0では暗号化にRSA-4096を用いていると主張しているが、やはり依然としてAESを使用している。しかしながら、このバージョンでは暗号キー交換アルゴリズムは異なるものを使用しており、暗号を破るのが一層困難になっている。このバージョンでのもう1つの違いは、暗号化されたファイルの拡張子に.MP3、.XXX、.TTT、.MICROが使用される点だ。HTMLの脅迫メッセージはTeslaCrypt 2.0と同じだが、テキストファイルのフォーマットが以下のように多少変更になった。バージョン3.0ではGoogle Translateへのリンクが含まれており、「What does this mean」という行が削除された。

TeslaCrypt 3 - What happened to your files?

 TeslaCrypt 4.0はTeslaCryptランサムウェア・ファミリーの最新版だ。これは2016年3月前後に初お目見えした。同バージョンとそれ以前のバージョンとの最大の違いの1つは、4.0では暗号化されたファイルの拡張子に.VVVや.MP3といったものを使わないことだ。また、以前のバージョンでは、4GBを超えるファイルを暗号化する際に破損してしまうというバグがあった。最新バージョンではこのバクは修正されている。被害者のコンピュータに関するさらなる情報を探ろうと試み、犯罪者のネットワークへ情報を送信することもする。

 TeslaCrypt 4.0もやはり暗号化にRSA-4096を用いていると主張しているが、依然としてAESを使用している。身代金の要求の外観には変化はないが、TeslaCrypt 4.0と3.0で中に書かれた文章には相当な数の違いがある。たとえば3.0では「What happened to your files」と書かれているが、4.0では「What’s the matter with your file」だ。TeslaCrypt 4.0ではまた、バージョン2.0から「What does this mean」という行を戻している。

TeslaCrypt 4 - What's the matter with your files?

その他の情報源:


記述および調査:Miro Ikaheimonen


 著者によるメモ:私はフィンランドのヘルシンキにいる中学生で14歳です。エフセキュア社で5日間のTET(Tyoelamaan tutustuminen、訳注:フィンランドのインターンシップ制度)プログラムを行っている最中です。なぜ、エフセキュアを選択したのでしょうか?通信技術に興味があったのと、学校のプロジェクトでミッコ・ヒッポネンにインタビューする機会もあり、エフセキュアのマルウェアとの戦いに興味を抱くようになったためです。ここでは楽しい時間を持ち、マルウェアについての新しい内容をたくさん、特にランサムウェアとそれと戦うことについて学びました。

Miro

Windows XPからの移行支援でクラウド型ソリューション半年間無償キャンペーン開始

Windows XPからの移行が急務に !

Windows XPのサポートが2014年4月9日に終了しますが、企業や自治体など多くの法人ユーザーで引き続きWindows XPが使用されており、サポート終了までのOSの移行が急務となっております。

しかし新規のハードウェアやOSの導入は、検証作業などの負荷に加え、コストの観点からも大きな課題となっており、移行の妨げとなっているのが現状です。
このためエフセキュアでは、Windows XPからの移行をご支援することを目的とし、新規にご導入いただくお客様を対象に、PSBの半年間無償キャンペーンを開始いたします。


「エフセキュア プロテクション サービス ビジネス (PSB)」の特長

PSBは、PCからサーバおよびモバイルまでの幅広いマルチプラットフォームに対応するクラウド型セキュリティ対策ソリューションです。




お客様は専用の管理用サーバの設置が不要のため、大幅な初期費用の削減ができます。
またWebベースの管理ポータルで、専門知識がなくても簡単にセキュリティシステムの運用ができるため、中小・中堅企業のお客様を中心に導入が進んでいます。

特にWindowsワークステーション中のOSやアプリケーションに最新のセキュリティパッチを容易に適用させる
ソフトウェア アップデーターが実装されているため、Windows XPからの移行を検討中のお客様に最適です。




半年間無償キャンペーン


コストを抑えてPSBをご提供するために、新規でご購入頂く場合、一年間の価格でPSBを18ヶ月ご利用可能なキャンペーンを実施します。
キャンペーン期間は、2013年11月1日(金)から2014年3月28日(金)弊社受注分までとなります。


キャンペーンの詳細は、 http://news.f-secure.com/PSB-Promotion をご参照ください。

Android RATのオープンソース化で行きつく先は・・・


2011年に著名なBotであるZeuSのソースコードが流出したことは記憶に新しいです。その後、CitadelやKINSなどのBotの開発コミュニティは活性化し、サイバー犯罪に悪用される不正プログラムはより高度化したように思います。併せて、Malware as a Serviceの市場も拡大し、サイバー犯罪被害の増大に滑車を掛けました。(下図はCitadel Botnet Build Serviceの例)

citadel1

このような状況になった切っ掛けは、前述したソースコードの流出が要因の1つと考えられるわけですが、それが意図的であったかどうかは分かりません。しかし、結果として情報がオープンになったことで、それらの産業(?)は飛躍的に伸びたことは間違いなさそうです。
また、最初から不正プログラムをオープンソースとして配布したり、APIを公開するなどしコミュニティからアイデアを募ることで開発力を高めている例も少なくありません。

この流れはPCを対象としたマルウェアだけでなく、Androidにおいても幾つか確認されています。
例えば、AndroRatなどはその典型です。このRatはオープンソースとして配布されており、案の定、公開と同時に悪用が確認され、犯罪利用の増大が懸念されています。(下図はAndroRatのソースコードの一部)

androrat1

また、今後追加されるであろう機能についても注目されています。先ず、AndroRatの標準の機能においては、次のものがあります。
#他のRatでも確認できる標準的な機能を有しているように思います。
  • Get contacts (and all theirs informations)
  • Get call logs
  • Get all messages
  • Location by GPS/Network
  • Monitoring received messages in live
  • Monitoring phone state in live (call received, call sent, call missed..)
  • Take a picture from the camera
  • Stream sound from microphone (or other sources..)
  • Streaming video (for activity based client only)
  • Do a toast
  • Send a text message
  • Give call
  • Open an URL in the default browser
  • Do vibrate the phone
これに対し、他のオープンソースのAndroid Ratで追加が予定されていた機能として次のようなものがあります。これらのアイデアがAndroRatに取り込まれるかは分かりませんが、少なくともこういった機能を有するRATが登場する可能性はある、とは言えそうです。
#ちなみに、この開発プロジェクトは現在ストップしています。
  • Facebook Poster
  • Twitter Poster
  • Password Stealer 
  • Screenshot look
  • Root All Android Devices! (With 30 Working official verizon/at&t/sprint/Phonebooth ROMS)
  • Look At cam
  • LOAD ALARM
  • Time Changer
  • Text Reader
  • File Manager
この中で個人的に気になったのは、パスワード・スティーラーやスクリーンショットの閲覧、ルート化でしょうか。現在、Androidをはじめとしたスマートデバイスから、金融機関(銀行や証券会社など)を含め様々な取引きが可能です。この点を踏まえますと、上述の機能は非常に脅威です。
これらのアイデアが他のAndroidマルウェアにどの程度取り込まれるかは分かりません。しかし、Androidマルウェアのソースコードの公開により、この他にもサイバー犯罪の敷居を下げるような機能がが次々と登場するのは時間の問題かもしれません。(考え過ぎかもしれませんが。。。)
ちなみに、AndroRatはコンパイルサービスが確認されています。Androidマルウェアに関しても近い将来、本格的なMalware as a Serviceなどが提供されるようになるかもしれません。




Androidマルウェア:新天地の開拓と古いタブー

 先週の木曜日の記事にて、Dell SecureWorksによる「Stels」の分析 (読んで!)をリンクした。StelsはスパムボットネットCutwail経由で近頃拡散し始めた、Android上の多目的なトロイの木馬だ。

 マスマーケットを対象としたクライムウェアギャングが配布するこのAndroidマルウェアは、情勢を一変させる可能性がある。

 では、StelsはCutwail以前はどうやって拡散していたのか?

 以下は、やや古いStelsのバリアントと、我々がそれを初めて目にした日にちだ。全バリアントが(少なくとも)spaces.ruというWebポータル経由で配布されていた。

  •  efb387ae109f6c04474a993884fe389e88be386f — 12月5日
  •  8b99a836572231ffdcb111628fc1dcfb5d9ee31d — 12月7日
  •  109b2adde84bb7a4ebf59d518863254e9f01c489 — 12月10日
  •  9384480d82326e89ce52dd3582cf0d6869d59944 — 12月13日
  •  8abc7ee0071ac32188c3262cf4ff76cc6436b48f — 1月3日

 我々はTrojan:Android/SmsSpy.Kとして多数のStelsのバージョンを検知している。そして以下は当社のMSMS(Malware Sample Management System)のスクリーンショットだが、ソーシャルエンジニアリングを伴っていることが良く分かるだろう。

TrojanAndroidSmsSpyK_MSMS

 ゲーム、ユーティリティ、その他の「フリーウェア」アプリケーションがロシア人を標的にしている。

 ロシア人を標的に…。これはWindowsマルウェアの世界では実に稀なケースだ。

 たとえばConficker.Aは、現在システム上でどのキーボード配列が使われているか、Windows APIのGetKeyboardLayoutで確認し、ウクライナ語のレイアウトならシステムに感染しない。

 もっと最近の例としてCitadel(銀行を狙ったトロイの木馬)が挙げられる。GetKeyboardLayoutList APIを確認し、利用可能な入力言語の中でロシア語もしくはウクライナ語のキーボードがあるマシン上では起動しない。

 Citadelのマシン上の(?)「readme」の翻訳を挙げる(http://pastebin.com/gRqQ2693)。

—————

#
重要事項:
#
このソフトウェアはロシア語のシステムでは動作しない。ロシア語またはウクライナ語のキーボード配列であることを検出すると、ソフトウェアは機能を停止する。このような前置きをしたのは、CIS諸国のダウンロードに対抗するためだ。我々にとってはタブーであるが、本ソフトウェアを好きなように扱ってほしい。

—————

 以下は、古いバージョンのCitadelがウクライナ語キーボードに遭遇したときに、何が起こるかだ。

Citadel

 現行バージョンのCitadelはクラッシュエラー無しで静かに終了する。

 今までのところ、ロシア人が書いたAndroidマルウェアは、SMS詐欺に関連する課金スキームであるために同志のロシア人を標的にする必要があった(プレミアムナンバーは発信元の国でしかうまくいかない)。

 今やAndroidマルウェアはより「伝統的な」配布チャネルへと広がった。そうであるからには、古いタブーが再度定着し、表示言語にロシア語を用いているAndroidデバイスへの影響を避けるAndroidのトロイの木馬を発見するのも、時間の問題に過ぎないのだろうか?

オーストラリアで医療記録が暗号化され、身代金が要求される

 ABC放送(Australian Broadcasting Corporation、オーストラリア放送協会)によると、オーストラリアのゴールドコーストにある小規模医療事業者が保有するサーバがハックされ、患者の記録が暗号化された。そして、4,000ドルの身代金の要求があった。

Miami Family Medical Centre
画像提供元:Google

 オーストラリア版のSC Magazine誌では、今年すでに同様のハックについて報じている。

 2012年中に見てきたランサムウェアの大半は個人をデスクトップPCから締め出すことに焦点を合わせたものだったので、我々はこの興味深い進化に衝撃を受けた(当社のH1 Threat Reportのransomwareの節を参照のこと)。

 (慎重に扱うべき医療記録が巻き込まれるものを含めて、)2012年の間「ハクティビスト」が引き起こす侵害は数多くあった。実際には、そのことには大きな驚きがあるわけではないし、驚くべきでもない。一部の犯罪者は、ハッカーと同じ行為から利益を得る方法を開発してきたのだ。今回の事件はトレンドの始まりであり、2013年にはオーストラリア以外の世界でも見られるのだろうか?

Nightlineが「iファクトリーへの旅」を実施

米国のニュース番組「Nightline」が、ABCネットワークで今夜、特別番組と銘打った放送を行う。その中で、Nightlineの共同アンカーBill Weirが、Foxconnの工場を見学する。Foxconnについて耳にしたことは無いかもしれないが、同社はiPad、iPhone、Kindle、PlayStation 3、Wii、Xbox 360といったデバイスを製造する企業だ。

  Weirによる中国の「Apple工場」訪問への招待は、一つには高まる消費者圧力に起因している。数週間前、Public Radio Internationalが制作した「This American Life」が、モノロジストMike Daiseyによる「The agony and the ecstasy of Steve Jobs(スティーブ・ジョブズの苦痛と恍惚)」の一部を放送した。このストーリー中、Appleの熱狂的ファンを自称するDaiseyは、自分も使用するiPhoneが作られている場所を見るため、中国に旅した。

  ここで、話を聞くことができる。



  「Mr. Daisey and the Apple Factory」の放送後、「change.org」や「sumofus.org」といった社会運動家のグループが「良心的な」iPhoneを作成するようAppleに求める陳情を計画した。これらのグループは先頃、ニューヨークのApple本店に25万以上の署名を提出している。

  そして現在Foxconnは「Nikeモーメント」(1990年代のNikeのPRトラブルへの言及)に到達し、Nightlineを透明性を高めるため、Nightlineを同社施設の案内に招いたのだ。レポートのプレビューをここで読むことができる:A Trip to The iFactory

  また、Foxconnが昨日、職員に25パーセントの昇給を約束したことも注目されている。

  ではこの話から得られる教訓はなんだろう?

  我々が思うには… 社会運動はハクティビズムよりも優れているようだ。

追記:米国以外の読者は「Nightline」の全エピソードを見ようとすると、以下のような表示を見ることになるだろう。

You appear to be outside of the United States…

  しかし現在、Nightlineのポッドキャストフィードを介して、全エピソードを聞くことができる。








Meet us at Smartphone & Tablet 2012 Spring

ビジネスを変革するスマートデバイス ソリューションが一堂集う、「Smartphone&Tablet2012 Spring」でエフセキュアが法人向けに提供する最新モバイル端末向けのセキュリティ ソリューションが先行公開されることになりました。続きを読む

2012年は、端末の多様化がもたらす挑戦の年(フィンランド本社発表資料超訳)

遅ればせながら、2011年11月29日にフィンランドの本社が発表したニュース "A Growing and Diverse Device Market Presents New Security Challenges in 2012" を翻訳してみました。(注: 一部超訳してあります)

20111213_blog


続きを読む

Windowsリモートデスクトップワーム「Morto」が拡散

  この頃は、インターネットワームを見る事はあまり無い。大部分はボットとトロイの木馬だ。しかし、我々は新たなインターネットワームを発見した。現在拡散中だ。

  同ワームは「Morto」という名で、Windowsワークステーションおよびサーバを感染させる。これは我々がこれまでに見たことのない新たな拡散ベクタ「RDP」を使用している。

  「RDP」はRemote Desktop Protocolの略だ。WindowsはWindows Remote Desktop Connectionを介し、このプロトコルのビルトインサポートを有している。一度コンピュータをリモートで使用可能にすれば、そのマシンにアクセスするのに他のコンピュータを利用することができる。

Morto RDP worm

  同ツールで他のコンピュータに接続する際、ローカルコンピュータを使うように、そのマシンを利用することができる。

Morto RDP worm

  マシンが感染すると、「Morto」ワームはローカルネットワークをスキャンして、Remote Desktop Connectionが可能になっているマシンを探す。これにより、RDPポートであるポート3389/TCPで多くのトラフィックが発生する。

  「Morto」はRemote Desktopサーバを見つけると、管理者としてログインしようとし、一連のパスワードを試みる:

 admin
 password
 server
 test
 user
 pass
 letmein
 1234qwer
 1q2w3e
 1qaz2wsx
 aaa
 abc123
 abcd1234
 admin123
 111
 123
 369
 1111
 12345
 111111
 123123
 123321
 123456
 654321
 666666
 888888
 1234567
 12345678
 123456789
 1234567890


  一度リモートシステムに接続すれば、ドライブC:、D:に対して、\\tsclient\c、\\tsclient\dのようにWindowsシェアを介してサーバのデバイスにアクセスできる。「Monto」はターゲットマシンに自身をコピーするために、この機能を使用する。同ワームは、「A:」のもとに一時ドライブを作成することでこれを行い、それに「a.dll」という名のファイルをコピーする。

  感染により「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」などを含むシステム上にいくつかの新しいファイルが作成される。

  「Morto」はリモートでコントロールすることができる。これは「jaifr.com」および「qfsl.net」など、いくつかの代替サーバを介して行われる。

  我々は異なるサンプルをいくつか見ている。いくつかのMD5ハッシュは以下を含む:
0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d

  このトピックに関するさらなるディスカッションはTechnetフォーラムで。

  我々は「Morto」コンポーネントを「Backdoor:W32/Morto.A」および「Worm:W32/Morto.B」として検出している。


Hungry Beast:Stuxnet

  テレビ局がインフォグラフィックスペシャルの制作を始めているのを見ると、コンピュータウイルスもメインストリームになったものだと思う。

  「Hungry Beast」は、オーストラリアのABC1が制作するテレビ番組だ。彼らは「Stuxnet」に関する、3分の素晴らしいビデオクリップをリリースした。

  ビデオ内の詳細は、技術的に全て正確というわけではないが、それでも見る価値はある。




消えそうで消えないAndroidマルウェアの登場か!?

先日の記事にも取り上げられていますDroidDream(Rootcager)についてです。
記事にもあります通り、「
rageagainstthecage」を利用しroot権限を奪取します。
その後にパッケージなどをダウンロードしたりします。詳細はこちら。
参考URL: 新たな Android の脅威による端末の root 権限の取得

Android Marketでマルウェア入りアプリケーションが配布されたことも驚きですが、マルウェアによるroot権限の奪取は、「ついに来たか!」といった印象を持ちました。
$ pwd
$ SuperSolo/assets
$ ls -l
total 184
-rw-r--r--  1 analysis  staff  15360  3  4 09:55 GuitarData
-rw-r--r--  1 analysis  staff    347  3  4 09:55 Hallelujah
-rw-r--r--  1 analysis  staff    335  3  4 09:55 Hotel California
-rw-r--r--  1 analysis  staff    346  3  4 09:55 House Of The Rising Sun
-rw-r--r--  1 analysis  staff    331  3  4 09:55 Majors
-rw-r--r--  1 analysis  staff    338  3  4 09:55 Minors
-rw-r--r--  1 analysis  staff    590  3  4 09:55 behold.ivt
-rw-r--r--  1 analysis  staff  15295  3  4 09:55 exploid
-rw-r--r--  1 analysis  staff    566  3  4 09:55 galaxy.ivt
-rw-r--r--  1 analysis  staff    470  3  4 09:55 piezoerm.ivt
-rw-r--r--  1 analysis  staff   3868  3  4 09:55 profile
-rw-r--r--  1 analysis  staff   5392  3  4 09:55 rageagainstthecage ←これ!
-rw-r--r--  1 analysis  staff  14075  3  4 09:55 sqlite.db
$
Androidの場合、アプリケーションは、Linuxでいうところの一般ユーザ権限で動作しています。これは外部から持ち込まれたマルウェアにおいても同様です。そのため、仮にマルウェア付きアプリケーションをインストールしてしまった場合においても、端末に与える被害範囲は想像がつき易いです。しかし、root権限が奪取されますと、マルウェアはこの制限が無くなり、(現状では)厄介なことなります。

例えば、マルウェアがシステム領域に設置されたとしたらどうでしょうか。
この場合、一般のアンチウイルス・アプリでは駆除できなくなります。なぜなら、アンチウイルス・アプリも普通のアプリケーションと同様の権限しか持っていないためです。
(私の手元にあるアプリでは削除出来ていません。)
次にデータ初期化を試みることを思いつくのではないでしょうか。
しかし、残念ながらAndroidのデータ初期化はデータ領域のみであるため、システム領域内のマルウェアは削除されません。
結局、SDKを用いて、削除することになります。(root化が必要になります)

droiddream1

root権限の奪取による攻撃者側のメリットとAndroidの仕様を考えますと、root権限を奪取するマルウェアは今後のトレンドとなりそうです。Android端末による本格的なボットネットの構築は来年かな、と思ってましたが、意外に近い未来かもしれません。

やっぱり出てきた!Androidボット

「これは結構ヤバいのでは!?」と話題の「Geinimi」。
昨年末に、Lookout Mobile Securityの記事で報告され、今後の動向が気になります。

現在のところ、マルウェアの配信元は中国の公式外マーケットのみですので、被害範囲もある程度限定されていると思われます。

今回、配布されているサイトの内の1つを調べてみますと、Geinimiが混入されたアプリケーションは比較的信頼のおける(?)アップロード職人がアップしたものに含まれていました。
#サイトの信頼度は別として・・・
恐らく、アップロードしたユーザも、Geinimiが混入されていることに気付いていないと思われます。
(そもそも、このアプリケーション自体が拾い物の可能性が大きいですが・・・)

また、現在配布されているGeinimi入りアプリケーションが、二次配布されたものと仮定しますと、オリジナルはどこかに存在していることになります。
場合によっては、中国語圏から日本語圏、英語圏と攻撃範囲を拡大してくるかもしれないですね。

geinimi_bbs



Geinimiの動作は、他のサイトで解説されておりますとおり、「位置情報」や「端末情報(端末識別番号や加入者識別子)」などをC&Cサーバへ送信するなどします。
モバイルセキュリティの専門家のご指導のもと、Geinimi入りアプリケーションをバラしてみました。
(apk拡張子はZIP形式)
送信される箇所を参照しますと、端末内の詳細な情報が送信されることが何となく分かると思います。

~/Geinimi_APP/smali/com/dseffects/MonkeyJump2/jump2/e/p.smali ← これ
method=post&IMEI=
&IMSI=
&AdID=
&CPID=
&PTID=
&SALESID=
&msgType=
imei=
&imsi=
&sms=
&type=send
&latitude=
&longitude=
&type=receive
&phone=
&MODEL=%s&BOARD=%s&BRAND=%s&CPU_ABI=%s&DEVICE=%s&DISPLAY=%s&FINGERPRINT=%s&HOST=%s&ID=%s&MANUFACTURER=%s&PRODUCT=%s&TAGS=%s&TIME=%s&TYPE=%s&USER=%s&SoftwareVersion=%s&Line1Number=%s&NetworkCountryIso=%s&NetworkOperator=%s&NetworkOperatorName=%s&NetworkType=%s&PhoneType=%s&SimCountryIso=%s&SimOperator=%s&SimOperatorName=%s&SimSerialNumber=%s&SimState=%s&SubscriberId=%s&VoiceMailNumber=%s&CPID=%s&PTID=%s&SALESID=%s&DID=%s&sdkver=%s&autosdkver=%s&shell=%s
データの送信先は、SANSでも紹介されている通り、次のドメインです。
いずれも既に接続できません。
www.widifu.com:8080;www.udaore.com:8080;www.frijd.com:8080;www.islpast.com:8080;
www.piajesj.com:8080;www.qoewsl.com:8080;www.weolir.com:8080;www.uisoa.com:8080;
www.riusdu.com:8080;www.aiucr.com:8080;117.135.134.185:8080

攻撃者側の目的は、Android端末の情報であることは容易に想像できますが、これらの情報が何に悪用されようとしているのかが、非常に興味深いところです。
昨年のZeuSがMITMO(Man in the Mobile)を使ってモバイル・バンキング口座の認証を破ったことがちょっと話題になりました。このときの攻撃対象はブラックベリーなどでしたが、もしAndroid端末を乗っ取られたことを考えますと、日本のような便利機能満載な端末は非常に恐いなぁ・・・と思うのは私だけでしょうか。

今後、スマートフォンの普及率を踏まえますと、さらにAndroid端末を狙ったマルウェアは増加していくことが予想されます。
その多くは、Geinimiのようなアプリケーションに混入するタイプが多いと思っています。

これらの対策としては、Lookoutなどでも記載されているように、
・信頼できるサイトからのみアプリをダウンロードする
・アプリケーションをインストールする際に表示される警告を確認する
・スマートフォンなどの振る舞いに異常がないかどうかチェックする
は勿論のこと、Android端末向けのアンチウイルスソフトウェアをインストールは忘れずにしておきたいところです。

来年にはどうなっているか・・・非常に興味深いですね!
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード