ANDROIDOS_GEINIMI.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。その理由として、ダメージ度や感染力、あるいは、その両方の脅威レベルの高まりが挙げられます。

マルウェアは、正規アプリケーションと共に、モバイル機器に侵入します。コードの解析の結果、モバイル機器用OS「Android OS」を搭載したスマートフォンに感染すると、複数の活動を実行する機能を備えていることが確認されました。これらの活動には、モバイル機器にインストールしたパッケージやアプリケーションを列挙する活動があります。また、他のアプリケーションのダウンロード・インストール・実行する機能も備えています。

マルウェアは、携帯電話のGPS座標情報を収集します。また、連絡先情報や携帯電話の受信箱に保存されているEメールなどのメッセージを解析します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

侵入方法

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

バックドア活動

マルウェアは、以下のポートを開きます。

• TCP port 4501 (IANA)
• TCP port 8791 (Unassigned)
• TCP port 6543 (lds_distrib)
• TCP port 5432 (PostgreSQL Database)

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• www.{BLOCKED}fu.com:8080
• www.{BLOCKED}re.com:8080
• www.{BLOCKED}jd.com:8080
• www.{BLOCKED}st.com:8080
• www.{BLOCKED}sj.com:8080
• www.{BLOCKED}sl.com:8080
• www.{BLOCKED}ir.com:8080
• www.{BLOCKED}oa.com:8080
• www.{BLOCKED}du.com:8080
• www.{BLOCKED}cr.com:8080
• {BLOCKED}.{BLOCKED}.134.185:8080
• {BLOCKED}.{BLOCKED}.68.34:8080

ただし、情報公開日現在、上記Webサイトはアクセスできません。

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• 携帯電話にインストールされたパッケージの列挙
• 携帯電話で実行中のアプリケーションの列挙
• アプリケーションの実行
• 他のアプリケーションのダウンロード
• アプリケーションのインストール／アンインストール
• 携帯電話のGPS座標情報の収集
• 保存されている連絡先情報の解析／読み込み
• 携帯電話の受信箱に保存されているショート・メッセージ・サービスやEメールなどのメッセージの解析／読み込み
• 以下の情報の収集
• ダイヤルイン(DID) 番号
• GoogleマップからのGPS位置情報
• International Mobile Subscriber Identity (IMSI) 番号
• International Mobile Equipment Identity (IMEI) 番号
• autosdkverの値
• CPIDの値
• PTIDの値
• sdkverの値
• システムプロパティ情報の収集
  • 回路基板
  • 商標
  • ネットワーク・サービス・プロバイダのISO 国名
  • SIMのISO 国名
  • CPUのアプリケーション・バイナリー・インターフェイス（ABI） タイプ
  • デバイス
  • ディスプレイ
  • 指紋認証情報
  • ホスト
  • ID
  • 回線番号
  • 製造者
  • ネットワーク・サービス・プロバイダ名
  • ネットワーク・サービス・プロバイダのオペレータ名
  • 機種モデル
  • 機種タイプ
  • プロダクト
  • セールスID
  • SIM カードのシリアル番号
  • ソフトウエアのバージョン
  • SIM カードの状態
  • 加入者 ID
  • タグ
  • 時間
  • タイプ
  • ネットワークサービスのタイプ
  • ユーザ
  • ボイスメールの番号