• Email
• Facebook
• Twitter
• Google+
• Linkedin

ANDROIDOS_TROJMMARKETPLAY.B

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、新しい手法を利用し、有料サービスを悪用します。マルウェアは、非公式のアプリ配信ストアにログインし、ユーザの許可なしに背後で有料のアプリやメディアファイルをダウンロードします。これによってユーザは見覚えのない料金を請求されることとなります。

マルウェアは、ユーザによって非公式のアプリ配信ストアからダウンロードされ、Android OS を搭載した端末（以下、Android端末）に侵入します。

マルウェアは、天気予報ツール「GoWeather」として装います。このアプリケーションは、不正リモートユーザが不正なコードを追加することによって変更およびパッケージし直されます。

マルウェアは、テスト情報としてのベータ版ビルドです。このマルウェアのコードから、不正リモートユーザに関する情報が確認されています。

マルウェアは、以下の不正活動をします。

• 携帯電話のデータ通信で必要となる接続先を指定する文字列「アクセス・ポイント・ネーム（APN）」を「CMWAP」に変更する

• 非公式のアプリ配信ストア「M-Market」を閲覧し、有料のアプリやメディアファイルをダウンロードする

• 確認のため「M-Market」から送信される照合コードを含んだ「SMS のメッセージ（以下、テキストメッセージ）」を傍受する。

• 確認のため送信されるテキストメッセージからおよび照合コードを抽出し、「M-Market」へ自動返信する

これによってユーザは見覚えのない料金を請求されることとなります。

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

---

  詳細

侵入方法

マルウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。

• nDuoa/GFan/AppChina/LIQU/ANFONE/Soft.3g.cn/TalkPhone/{BLOCKED}9.com/AZ4SD

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

その他

マルウェアは、ユーザによって非公式のアプリ配信ストアからダウンロードされ、Android端末に侵入します。

マルウェアは、天気予報ツール「GoWeather」として装います。このアプリケーションは、不正リモートユーザが不正なコードを追加することによって変更およびパッケージし直されます。

マルウェアは、テスト情報としてのベータ版ビルドです。このマルウェアのコードから、不正リモートユーザに関する情報が確認されています。

インストールされると、マルウェアは、携帯電話のデータ通信で必要となる接続先を指定する文字列「アクセス・ポイント・ネーム（APN）」を変更します。

このように、APNをCMWAPに変更することによって、携帯端末は、自動的に非公式のアプリ配信ストア「M-Market」に自動的にログインすることが可能となります。この「M-Market」に初めてログインすると、課金を知らせるポップアップウィンドウが表示されます。そして、マルウェアは、このポップアップウィンドウをクリックし閉じます。

さらにマルウェアは、「M-Market」のWebサイトを開き、有料のアプリやメディアファイルを検索し、ダウンロードします。

マルウェアは、確認のため「M-Market」から送信される照合コードを含んだテキストメッセージを傍受します。

CAPTCHA画像がある場合、このマルウェアは、この画像をダウンロードしてリモートサーバに送信して復号します。

この復号したサーバのドメイン名は、環境設定ファイル "yk-static.config" に含まれることとなります。

また、この環境設定ファイルには、テキストメッセージ送信に使われる電話番号といった複数の環境設定情報が含まれています。そして、ドメイン名欄には、復号されたサーバのドメインが保存されています。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください