ANDROIDOS_FAKEBROWS.A
Trojan-SMS.AndroidIS.FakeInst.h (Kaspersky), Android/TrojanMS.FakeInst.B trojan (Nod32)
高額請求悪用型
Android OS
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
これは、Android OS搭載のモバイル機器を標的とするマルウェアの亜種です。マルウェアは、ソーシャルエンジニアリングの手法を利用し、ユーザがある行為をするよう誘導します。この行為が、直接、または間接的に、マルウェアの不正活動実行のきっかけとなります。特に、マルウェアは、モバイル機器向けWebブラウザ "Opera Mini" として装います。ユーザが偽のブラウザのサービスを利用することに同意すると、高額の料金が発生する電話番号に「SMSのメッセージ(以下、テキストメッセージ)」を送信します。
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。 マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
マルウェアは、特定のアプリケーションのアイコンを用いて、検出および削除を避けます。
詳細
侵入方法
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。
インストール
マルウェアは、以下のアプリケーションのファイルアイコンを使用します。
- Opera Mini
マルウェアは、モバイル機器向けWebブラウザ "Opera Mini" として装います。
マルウェアは、実行されると以下のメッセージを表示します。
画面中の文字を日本語化すると、以下のとおりとなります。
- タイトルバー:初期設定
- ダイアログ:Opera Miniの利用規約への同意を確認します。ダウンロードするには、「次へ」をクリックしてください。
- ボタン「Правила」:利用規約
- ボタン「Далее」:次へ
ユーザが、ボタン「Правила(利用規約)」をクリックすると、以下のインターフェイスが表示されます。
利用規約には、この偽のブラウザのサービス利用料金についてが記載されています。ユーザは、高額の料金が発生する電話番号に「SMSのメッセージ(以下、テキストメッセージ)」を送信することによって利用料金を支払います。この電話番号は、カザフスタンやロシア、ウクライナ、ラトビア共和国、リトアニア共和国、エストニア共和国の番号です。
上記の画面内にあるボタンの文字を日本語化すると、左下にあるボタンは「戻る」、右下は「次へ」となります。ユーザが、左下のボタン「戻る」をクリックすると、最初の画面へ戻ります。
ユーザが、上記2つのインターフェイス内にあるボタン「Далее (次へ)」をクリックすると、マルウェアは、特定の電話番号に以下本文を含むテキストメッセージを送信します。
- <接頭文字>1oZpW none android <接尾文字>
<接頭文字>および<接尾文字>、送信先番号の組み合わせは、以下のいずれかです。
| <接頭文字> | <接尾文字> | 送信先番号 |
| 7539 | . | 69991 |
| 7539 | . | 4545 |
| 79fgh | . | 7061 |
| 79fgh | . | 1060 |
| 79fgh | . | 4909 |
| 7539 | . | 55886 |
| 7539 | . | 4157 |
| 7539 | . | 4156 |
| 7539 | . | 4153 |
| 7539 | . | 5339 |
| 7539 | . | 2322 |
| 4722 | . | 2855 |
| 4722 | . | 9151 |
| 4722 | . | 7151 |
| 7539 | . | 1874 |
| 7539 | . | 1873 |
| 7539 | . | 1872 |
| 7539 | . | 81185 |
| 7539 | . | 81015 |
| 7830 | . | 9683 |
| 7830 | . | 9685 |
| 7539 | . | 19998866 |
| 7539 | . | 69067 |
| 7539 | . | 1945 |
| 40416 | . | 3302 |
| 40416 | . | 3303 |
| 40416 | . | 9818 |
| 40416 | . | 3302 |
| 40416 | . | 3303 |
| ce277 | . | 8161 |
| ce277 | . | 4449 |
| ce277 | . | 4446 |
| 7539 | . | 930399999 |
| 7539 | . | 17013 |
| 7539 | . | 17012 |
| 7539 | . | 17011 |
| 7539 | . | 1098 |
| 7539 | . | 57575 |
| 7539 | . | 90645045 |
| 7539 | . | 7910 |
| 7539 | . | 9090150 |
| 7539 | . | 9090199 |
| 7539 | . | 5040 |
| 40416 | . | 3339 |
| 40416 | . | 3336 |
| 7539 | . | 1645 |
| 7539 | . | 1635 |
| 7539 | . | 1391 |
| 7539 | . | 72170 |
| 7539 | . | 80888 |
| 7539 | . | 7796 |
| ce277 | . | 4107 |
| ce277 | . | 4106 |
テキストメッセージが送信されると、マルウェアは、以下の画面を表示します。
- タイトルバー:完了通知
- ダイアログ:有効化が完了しました。Opera Mini起動すると、お客様のもとにOpera Miniからテキストメッセージが届きます。もし、メッセージが届かない場合、Webサイト「http://{BLOCKED}y.ru/get/1oZpW」からOpera Miniをダウンロードしてください。または、「次へ」をクリックし、自動再起動してください。
- ボタン「Выход」:終了
- ボタン「Открыть」:開く
ボタン「Открыть(開く)」をクリックすると、ユーザは以下のWebサイトに誘導されます。
- http://{BLOCKED}y.ru/get/1oZpW
対応方法
手順 1
トレンドマイクロモバイル機器用セキュリティ対策対応方法
「ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。
手順 2
Android端末の不要なアプリケーションを削除します。
ご利用はいかがでしたか? アンケートにご協力ください