エフセキュアブログ

Android

Android RATのオープンソース化で行きつく先は・・・


2011年に著名なBotであるZeuSのソースコードが流出したことは記憶に新しいです。その後、CitadelやKINSなどのBotの開発コミュニティは活性化し、サイバー犯罪に悪用される不正プログラムはより高度化したように思います。併せて、Malware as a Serviceの市場も拡大し、サイバー犯罪被害の増大に滑車を掛けました。(下図はCitadel Botnet Build Serviceの例)

citadel1

このような状況になった切っ掛けは、前述したソースコードの流出が要因の1つと考えられるわけですが、それが意図的であったかどうかは分かりません。しかし、結果として情報がオープンになったことで、それらの産業(?)は飛躍的に伸びたことは間違いなさそうです。
また、最初から不正プログラムをオープンソースとして配布したり、APIを公開するなどしコミュニティからアイデアを募ることで開発力を高めている例も少なくありません。

この流れはPCを対象としたマルウェアだけでなく、Androidにおいても幾つか確認されています。
例えば、AndroRatなどはその典型です。このRatはオープンソースとして配布されており、案の定、公開と同時に悪用が確認され、犯罪利用の増大が懸念されています。(下図はAndroRatのソースコードの一部)

androrat1

また、今後追加されるであろう機能についても注目されています。先ず、AndroRatの標準の機能においては、次のものがあります。
#他のRatでも確認できる標準的な機能を有しているように思います。
  • Get contacts (and all theirs informations)
  • Get call logs
  • Get all messages
  • Location by GPS/Network
  • Monitoring received messages in live
  • Monitoring phone state in live (call received, call sent, call missed..)
  • Take a picture from the camera
  • Stream sound from microphone (or other sources..)
  • Streaming video (for activity based client only)
  • Do a toast
  • Send a text message
  • Give call
  • Open an URL in the default browser
  • Do vibrate the phone
これに対し、他のオープンソースのAndroid Ratで追加が予定されていた機能として次のようなものがあります。これらのアイデアがAndroRatに取り込まれるかは分かりませんが、少なくともこういった機能を有するRATが登場する可能性はある、とは言えそうです。
#ちなみに、この開発プロジェクトは現在ストップしています。
  • Facebook Poster
  • Twitter Poster
  • Password Stealer 
  • Screenshot look
  • Root All Android Devices! (With 30 Working official verizon/at&t/sprint/Phonebooth ROMS)
  • Look At cam
  • LOAD ALARM
  • Time Changer
  • Text Reader
  • File Manager
この中で個人的に気になったのは、パスワード・スティーラーやスクリーンショットの閲覧、ルート化でしょうか。現在、Androidをはじめとしたスマートデバイスから、金融機関(銀行や証券会社など)を含め様々な取引きが可能です。この点を踏まえますと、上述の機能は非常に脅威です。
これらのアイデアが他のAndroidマルウェアにどの程度取り込まれるかは分かりません。しかし、Androidマルウェアのソースコードの公開により、この他にもサイバー犯罪の敷居を下げるような機能がが次々と登場するのは時間の問題かもしれません。(考え過ぎかもしれませんが。。。)
ちなみに、AndroRatはコンパイルサービスが確認されています。Androidマルウェアに関しても近い将来、本格的なMalware as a Serviceなどが提供されるようになるかもしれません。




Meet us at Smartphone & Tablet 2012 Spring

ビジネスを変革するスマートデバイス ソリューションが一堂集う、「Smartphone&Tablet2012 Spring」でエフセキュアが法人向けに提供する最新モバイル端末向けのセキュリティ ソリューションが先行公開されることになりました。続きを読む

2012年は、端末の多様化がもたらす挑戦の年(フィンランド本社発表資料超訳)

遅ればせながら、2011年11月29日にフィンランドの本社が発表したニュース "A Growing and Diverse Device Market Presents New Security Challenges in 2012" を翻訳してみました。(注: 一部超訳してあります)

20111213_blog


続きを読む

消えそうで消えないAndroidマルウェアの登場か!?

先日の記事にも取り上げられていますDroidDream(Rootcager)についてです。
記事にもあります通り、「
rageagainstthecage」を利用しroot権限を奪取します。
その後にパッケージなどをダウンロードしたりします。詳細はこちら。
参考URL: 新たな Android の脅威による端末の root 権限の取得

Android Marketでマルウェア入りアプリケーションが配布されたことも驚きですが、マルウェアによるroot権限の奪取は、「ついに来たか!」といった印象を持ちました。
$ pwd
$ SuperSolo/assets
$ ls -l
total 184
-rw-r--r--  1 analysis  staff  15360  3  4 09:55 GuitarData
-rw-r--r--  1 analysis  staff    347  3  4 09:55 Hallelujah
-rw-r--r--  1 analysis  staff    335  3  4 09:55 Hotel California
-rw-r--r--  1 analysis  staff    346  3  4 09:55 House Of The Rising Sun
-rw-r--r--  1 analysis  staff    331  3  4 09:55 Majors
-rw-r--r--  1 analysis  staff    338  3  4 09:55 Minors
-rw-r--r--  1 analysis  staff    590  3  4 09:55 behold.ivt
-rw-r--r--  1 analysis  staff  15295  3  4 09:55 exploid
-rw-r--r--  1 analysis  staff    566  3  4 09:55 galaxy.ivt
-rw-r--r--  1 analysis  staff    470  3  4 09:55 piezoerm.ivt
-rw-r--r--  1 analysis  staff   3868  3  4 09:55 profile
-rw-r--r--  1 analysis  staff   5392  3  4 09:55 rageagainstthecage ←これ!
-rw-r--r--  1 analysis  staff  14075  3  4 09:55 sqlite.db
$
Androidの場合、アプリケーションは、Linuxでいうところの一般ユーザ権限で動作しています。これは外部から持ち込まれたマルウェアにおいても同様です。そのため、仮にマルウェア付きアプリケーションをインストールしてしまった場合においても、端末に与える被害範囲は想像がつき易いです。しかし、root権限が奪取されますと、マルウェアはこの制限が無くなり、(現状では)厄介なことなります。

例えば、マルウェアがシステム領域に設置されたとしたらどうでしょうか。
この場合、一般のアンチウイルス・アプリでは駆除できなくなります。なぜなら、アンチウイルス・アプリも普通のアプリケーションと同様の権限しか持っていないためです。
(私の手元にあるアプリでは削除出来ていません。)
次にデータ初期化を試みることを思いつくのではないでしょうか。
しかし、残念ながらAndroidのデータ初期化はデータ領域のみであるため、システム領域内のマルウェアは削除されません。
結局、SDKを用いて、削除することになります。(root化が必要になります)

droiddream1

root権限の奪取による攻撃者側のメリットとAndroidの仕様を考えますと、root権限を奪取するマルウェアは今後のトレンドとなりそうです。Android端末による本格的なボットネットの構築は来年かな、と思ってましたが、意外に近い未来かもしれません。

やっぱり出てきた!Androidボット

「これは結構ヤバいのでは!?」と話題の「Geinimi」。
昨年末に、Lookout Mobile Securityの記事で報告され、今後の動向が気になります。

現在のところ、マルウェアの配信元は中国の公式外マーケットのみですので、被害範囲もある程度限定されていると思われます。

今回、配布されているサイトの内の1つを調べてみますと、Geinimiが混入されたアプリケーションは比較的信頼のおける(?)アップロード職人がアップしたものに含まれていました。
#サイトの信頼度は別として・・・
恐らく、アップロードしたユーザも、Geinimiが混入されていることに気付いていないと思われます。
(そもそも、このアプリケーション自体が拾い物の可能性が大きいですが・・・)

また、現在配布されているGeinimi入りアプリケーションが、二次配布されたものと仮定しますと、オリジナルはどこかに存在していることになります。
場合によっては、中国語圏から日本語圏、英語圏と攻撃範囲を拡大してくるかもしれないですね。

geinimi_bbs



Geinimiの動作は、他のサイトで解説されておりますとおり、「位置情報」や「端末情報(端末識別番号や加入者識別子)」などをC&Cサーバへ送信するなどします。
モバイルセキュリティの専門家のご指導のもと、Geinimi入りアプリケーションをバラしてみました。
(apk拡張子はZIP形式)
送信される箇所を参照しますと、端末内の詳細な情報が送信されることが何となく分かると思います。

~/Geinimi_APP/smali/com/dseffects/MonkeyJump2/jump2/e/p.smali ← これ
method=post&IMEI=
&IMSI=
&AdID=
&CPID=
&PTID=
&SALESID=
&msgType=
imei=
&imsi=
&sms=
&type=send
&latitude=
&longitude=
&type=receive
&phone=
&MODEL=%s&BOARD=%s&BRAND=%s&CPU_ABI=%s&DEVICE=%s&DISPLAY=%s&FINGERPRINT=%s&HOST=%s&ID=%s&MANUFACTURER=%s&PRODUCT=%s&TAGS=%s&TIME=%s&TYPE=%s&USER=%s&SoftwareVersion=%s&Line1Number=%s&NetworkCountryIso=%s&NetworkOperator=%s&NetworkOperatorName=%s&NetworkType=%s&PhoneType=%s&SimCountryIso=%s&SimOperator=%s&SimOperatorName=%s&SimSerialNumber=%s&SimState=%s&SubscriberId=%s&VoiceMailNumber=%s&CPID=%s&PTID=%s&SALESID=%s&DID=%s&sdkver=%s&autosdkver=%s&shell=%s
データの送信先は、SANSでも紹介されている通り、次のドメインです。
いずれも既に接続できません。
www.widifu.com:8080;www.udaore.com:8080;www.frijd.com:8080;www.islpast.com:8080;
www.piajesj.com:8080;www.qoewsl.com:8080;www.weolir.com:8080;www.uisoa.com:8080;
www.riusdu.com:8080;www.aiucr.com:8080;117.135.134.185:8080

攻撃者側の目的は、Android端末の情報であることは容易に想像できますが、これらの情報が何に悪用されようとしているのかが、非常に興味深いところです。
昨年のZeuSがMITMO(Man in the Mobile)を使ってモバイル・バンキング口座の認証を破ったことがちょっと話題になりました。このときの攻撃対象はブラックベリーなどでしたが、もしAndroid端末を乗っ取られたことを考えますと、日本のような便利機能満載な端末は非常に恐いなぁ・・・と思うのは私だけでしょうか。

今後、スマートフォンの普及率を踏まえますと、さらにAndroid端末を狙ったマルウェアは増加していくことが予想されます。
その多くは、Geinimiのようなアプリケーションに混入するタイプが多いと思っています。

これらの対策としては、Lookoutなどでも記載されているように、
・信頼できるサイトからのみアプリをダウンロードする
・アプリケーションをインストールする際に表示される警告を確認する
・スマートフォンなどの振る舞いに異常がないかどうかチェックする
は勿論のこと、Android端末向けのアンチウイルスソフトウェアをインストールは忘れずにしておきたいところです。

来年にはどうなっているか・・・非常に興味深いですね!
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード