解析者: Weichao Sun   
 脅威タイプ:

情報収集型

 プラットフォーム:

Android OS

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    アドウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

これは、トレンドマイクロでは、感染コンピュータからSMSのメッセージ(以下、テキストメッセージ)を収集または傍受するために利用可能な不正なアプリケーションの検出名です。

  詳細

マルウェアは、ユーザにより手動でダウンロードまたはインストールされる可能性があります。

インストール中、マルウェアは複数の「BroadcastReceiver(ブロードキャストレシーバ)」を登録し、さまざまなシステムのイベントを傍受します。

  • 新規パッケージインストールやパッケージ削除、システムブート完了
  • システムブート完了イベントを傍受することにより、マルウェアは、システムブート完了毎に実行されます。
  • 実行されると、マルウェアは以下からファイル"stat.jar"をダウンロードします。
    • http://x<省略>xx.com/res

ただし、このファイルは正規のJARファイルではなく、AESによって暗号化されたodexファイルです。そして、マルウェアは、dynamicによりこのファイルを復号および実行します。

感染デバイスがSMSメッセージを受信する際、マルウェアは「filter」という名前のodexファイルのファンクションを呼び出します。

以下は、odexの「filter」呼び出し機能のスクリーンショットです。

解析中、この「filter」機能は、直接「False」を返す以外は何も実行しませんでした。この機能は、ダウンロードやdynamicで読み込まれたodexファイルにある機能であり、サーバ上の他のodexファイルを加えることで容易に変更され、ユーザのSMSメッセージを収集または傍受します。

以下は、odexの「filter」機能のスクリーンショットです。

「new package added」イベントおよび「package removed」イベントの受信後の活動は同じで、odexファイルの「packageChanged」という名前の機能となります。

以下は、odexの「packageChanged」機能の呼び出しのスクリーンショットです。

以下は、odexの「packageChanged」機能のスクリーンショットです。

  対応方法

対応検索エンジン: 9.300

手順 1

トレンドマイクロモバイル機器用セキュリティ対策対応方法

ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。

手順 2

Android端末の不要なアプリケーションを削除します。

[ 詳細 ]

ご利用はいかがでしたか? アンケートにご協力ください