ANDROIDOS_KUNGFU.CI
Trojan:AndroidOS/Legana.A (Microsoft), Backdoor.AndroidOS.KungFu.hi (Kaspersky)
Android OS
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。
これは、「DroidKungFu」と呼ばれるAndroid OS搭載のモバイル機器を標的とするスパイウェアの新たな亜種です。
スパイウェアは、トロイの木馬化されたAndroidアプリケーション "OneKeyVpn(一键翻墙)" を介してモバイル機器に侵入します。
スパイウェアは、感染モバイル機器の商標名やモデル名、インストールされているAndroidのバージョンなどといった情報を収集します。また、スパイウェアは、コマンドを受信するために、コマンド&コントロール(C&C)サーバに接続します。
スパイウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
詳細
侵入方法
スパイウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
スパイウェアは、トロイの木馬化されたAndroidアプリケーション "OneKeyVpn(一键翻墙)" を介してモバイル機器に侵入します。
その他
スパイウェアは、以下の情報を収集し、ファイル "/system/etc/.rild_cfg" に書き込みます。
- Androidのバージョン
- モバイル機器の商標名
- モバイル機器のID(GSM方式の場合、IMEI)
- モバイル機器のモデル名
- アプリケーションフレームワークのための「ソフトウェア開発キット(SDK)」のバージョン
- 「cvpn072」という文字列
スパイウェアは、このスパイウェアのAPKファイル内のフォルダ "assets" に、ファイル "WebView.db.init" を復号し、以下として保存します
- /system/etc/.dhcpcd
- /system/xbin/ccb
スパイウェアは、上記の作成したファイル "/system/xbin/ccb" に対する権限「パーミッション」を変更し、ファイルの所有者にはすべての権限を、それ以外のユーザには「読み込み」および「実行」のみの権限を与えます。そして、スパイウェアは、ファイル "/system/xbin/ccb" を実行します。
スパイウェアは、以下のプロセスを終了します。
- /system/bin/installd
- /system/bin/dhcpcd
そして、スパイウェアは、上記で終了したプログラム "/system/bin/installd" を"/system/bin/installdd"としてコピーします。また、プログラム "/system/bin/dhcpcd" を"/system/bin/dhcpcdd"としてコピーします。スパイウェアは、終了したプログラムのバックアップとしてこれらのコピーを作成し、ファイル "/system/xbin/ccb"の内容を終了したプログラムに上書きします。
スパイウェアは、自身がC&Cサーバと通信を開始した印として以下のファイルを作成します。
- /data/dhcpcd.lock
そして、スパイウェアは、バックドアコマンドを受信するために、以下のC&Cサーバに接続します。
- http://<省略>h.<省略>-android.com:8511/search/
- http://<省略>h.<省略>8.com:8511/search/
- http://<省略>h.<省略>9.com:8511/search/
スパイウェアは、以下のコマンドを受信します。
- ファイルのダウンロード
- APKファイルのインストール
- アプリケーションの実行
- 自身の更新
対応方法
手順 1
トレンドマイクロモバイル機器用セキュリティ対策対応方法
「ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。
手順 2
Android端末の不要なアプリケーションを削除します。
ご利用はいかがでしたか? アンケートにご協力ください
