解析者: Ecular Xu   

 プラットフォーム:

Android

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

このマルウェアは、「MMS」、「whatsapp」、「App」、さらには「PokemonGO」のような名称を利用し、正規アプリや人気のあるアプリに偽装します。マルウェアは、携帯電話を乗っ取り、サイバー犯罪者の指指示に従い携帯電話番号へ発信、テキストメッセージの送信、コマンド&コントロール(C&C)サーバ へファイルのアップロード、情報の窃取などを実行することができます。

  詳細

バックドア活動

マルウェアは、コマンド&コントロール(C&C)サーバに以下の情報を通知します。

  • call logs
  • SMS records
  • contacts
  • phone numbers
  • SIM serial number
  • location
  • and browser bookmarks
  • Android OS version
  • username
  • Wi-Fi
  • battery
  • Bluetooth
  • audio states
  • UiMode
  • sensor
  • data from camera, browser, and searches
  • service processes
  • activity information
  • wallpaper

マルウェアは、コマンド&コントロール(C&C)サーバに以下の情報を通知します。

  • 通話記録
  • テキストメッセージの記録
  • 連絡先
  • 携帯電話番号
  • SIMのシリアル番号
  • 位置情報
  • ブラウザのブックマーク
  • Androidのオペレーティングシステム(OS)バージョン
  • ユーザ名
  • Wi-fi
  • バッテリー
  • Bluetooth
  • 音声機器の状態
  • UiMode
  • センサー
  • センサー、カメラ、ブラウザ、検索の情報
  • サービスプロセス
  • Activity情報
  • 壁紙

マルウェアは、C&Cサーバから以下のコマンドを受信します。

  • {BLOCKED}ife.ddns.net
  • {BLOCKED}e.ddns.net
  • {BLOCKED}-ip.biz
  • {BLOCKED}e.no-ip.biz

これらのコマンドによりサイバー犯罪者は、所有者の同意なしに端末の機能を操作することができます。

以下はアクションコードのリストおよびそれに対応する操作の一例です。

  • ACTION CODE =10, 11: Wi-Fi の状態を制御
  • ACTION CODE= 34: 端末のセンサーをリアルタイムで監視
  • ACTION CODE= 37: 端末の「UiMode」を設定(例:夜間モード、車内モード、等)
  • ACTION CODE= 41: バイブレーション機能の制御(パターンやタイミング等)
  • ACTION CODE= 46: 壁紙として画像をダウンロード
  • ACTION CODE= 48: 現在のディレクトリのファイル情報を列挙してC&C サーバにアップロード
  • ACTION CODE= 49: 指定したディレクトリのファイルを削除
  • ACTION CODE= 50: 指定したディレクトリのファイル名を変更
  • ACTION CODE= 51: 任意のファイルを C&C サーバにアップロード
  • ACTION CODE= 52: 指定したディレクトリを作成
  • ACTION CODE= 60: テキスト情報を音声に変換
  • ACTION CODE= 62: 任意の情報を、指定した番号に SMS または MMS で送信
  • ACTION CODE= 68: ブラウザの履歴を削除
  • ACTION CODE= 70: SMS を削除
  • ACTION CODE= 74: ファイルのダウンロード
  • ACTION CODE= 75: 指定した番号にダイヤル
  • ACTION CODE= 77: 画面の作成を担う「Activity」や「View」を持つアプリを起動。Uniform Resource Identifier (URI) を指定することも可能。(例:ブラウザ、地図アプリ、ダイアル、閲覧など)
  • ACTION CODE= 78: 赤外線送信を制御
  • ACTION CODE= 79: シェルコマンドを実行し、結果をアップロード

  対応方法

対応検索エンジン: 9.850

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ANDROIDOS_GHOSTCTRL.OPS」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください