ANDROIDOS_BGSERV.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。その理由として、ダメージ度や感染力、あるいは、その両方の脅威レベルの高まりが挙げられます。

特に、マルウェアは、Googleの正規アプリケーション "Android Market Security Tool" が不正に改変されたものです。マルウェアは、「SMSのメッセージ（以下、テキストメッセージ）」を操作するとともに、リモートサイトにアクセスして情報を送受信する機能を備えています。

マルウェアは、侵入したモバイル機器の情報を収集する機能を備えています。

マルウェアは、SMSおよび通話を監視する機能を備えています。

マルウェアは、他の不正なファイルをダウンロードする機能を備えています。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

侵入方法

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://www.{BLOCKED}g.com:81/Coop/request3.php

その他

このコードを分析した結果、マルウェアは、以下の機能を備えています。

• 送受信したテキストメッセージの監視または傍受
• 不正リモートユーザが設定したフィルタに基づき基づきテキストメッセージのブロック
• テキストメッセージの送信
• 通話の傍受
• 通話記録の変更
• ファイルのダウンロード
• インターネット接続および状況の確認
• ネットワーク接続状況の変更
• Access Point Name (APN)の変更
• 以下のWebサイトから動画のダウンロード
• http://{BLOCKED}1.{BLOCKED}6.165.53/adapted/choose.jsp?dest=all&chooseUrl=QQQwlQQQrmw1sQQQpp66.jsp
• http://{BLOCKED}1.{BLOCKED}6.165.53/wl/rmw1s/pp66.jsp
• 感染したモバイル機器について以下の情報の収集
• IMEI（端末識別番号）
• バージョン
• SMSセンター番号
• 電話番号
• Mobile Country Code (MCC)
• Mobile Network Code (MNC)
• APN
• インターネット接続状況
• このマルウェア自身の活動に関する以下の情報を記録し、リモートサイトに送信
• 初回起動の日時
• インストールされた日時
• プロセスID
• サーバ
• 接続時間
• テキストメッセージの受信および通話をした日時
• 動画をダウンロードしたURL
• 動画をダウンロードした日時
• 動画をダウンロードした回数
• 傍受したテキストメッセージ
• テキストメッセージをブロックした時間
• テキストメッセージをブロックしたキー
• テキストメッセージをブロックしたポート
• テキストメッセージの件数
• 追加のファイルをダウンロードするURL

マルウェアは、Googleの "Android Market Security Tool" が不正に改変されたものです。この "Android Market Security Tool" は、他のトロイの木馬化されたアプリ（「 ANDROIDOS_LOTOOR.A」として検出）がモバイル機器に加えた変更を修復する目的で設計されています。

• 「ANDROIDOS_LOTOOR.A」

また、「ANDROIDOS_BGSERV.A」は、中国最大の通信業者「中国移動（チャイナモバイル）」のホットライン「10086」からのメッセージを傍受するために、不正リモートユーザによって利用されます。