Trend Micro Security

ANDROIDOS_FONCYSMS.A

2012年1月18日
 解析者: Erika Bianca Mendoza   
 脅威タイプ:

高額請求悪用型 , ルート権限取得ツール

 プラットフォーム:

Android OS

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

これは、Android OS搭載のモバイル機器を対象とする、バックドアの機能を備えたマルウェアです。マルウェアは、コマンドを受信するIRC接続を作成するファイルを作成します。そして、感染したユーザのコンピュータのセキュリティが危険にさらされます。また、マルウェアは、高額の料金が発生するサービスを悪用します。その結果、ユーザは、見覚えのない料金が請求されます。

マルウェアは、ゲームアプリケーション "Madden NFL" に類似したアイコンを表示します。実行されると、マルウェアは、他の不正なコンポーネントを作成し、エラーを表示します。

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

  詳細

ファイルサイズ 5,457,274 bytes
タイプ APK
メモリ常駐 はい
発見日 2012年1月16日

侵入方法

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

その他

インストールされると、マルウェアは、ゲームアプリケーション "Madden NFL" に類似したアイコンを表示します。

ただし、マルウェアは、実行されると、他の不正なコンポーネントを作成およびインストールし、以下のエラーメッセージを表示します。

"(0x14) Error - Not registred application."

マルウェアは、以下のフォルダを作成します。そして、すべてのユーザが、読み込み、書き込みおよび実行ができるように設定します。

  • /data/data/com.android.bot/files

マルウェアは、作成したフォルダ内に自身のコンポーネントファイルを展開します。

  • header01.png - ルート化を行うコンポーネント
  • footer01.png - IRCボットの役割をするコンポーネント
  • border01.png - 高額の料金が発生するサービスを悪用するコンポーネント

まず、マルウェアは、"header01.png" を実行します。ルート化に成功した場合、マルウェアは、IRCボット "footer01.png" を実行します。そして、マルウェアは、以下のサーバにIRCの接続を確立するように試みます。

  • <省略>.<省略>.196.198

接続されると、マルウェアは、IRCチャンネル「#andros」に参加します。そして、不正リモートユーザから送信されるコマンドを待機します。

IRCボットは、以下のファイルを実行します。

  • border01.png

Android OS搭載のモバイル機器で実行される "border01.png" は、高額の請求が発生するサービスを悪用します。マルウェアは、API「getSimCountryISO」を利用し、ユーザの位置情報を取得します。使用される高額の料金が発生する電話番号およびメッセージは、位置情報によって異なります。

fr (フランス)
電話番号: 81083
メッセージ: ALL

be (ベルギー)
電話番号: 3075
メッセージ: CODE

ch (スイス)
電話番号: 543
メッセージ: GEHEN SP 300

lu (ルクセンブルク)
電話番号: 64747
メッセージ: ACCESS SP

ca (カナダ)
電話番号: 60999
メッセージ: SP

de (ドイツ)
電話番号: 63000
メッセージ: SP 462

es (スペイン)
電話番号: 35024
メッセージ: GOLD

gb (イギリス)
電話番号: 60999
メッセージ: SP2

ma (モロッコ)
電話番号: 2052
メッセージ: CODE

sl (シエラレオネ)
電話番号: 7604
メッセージ: PASS

ro (ルーマニア)
電話番号: 1339
メッセージ: PASS

no (ノルウェー)
電話番号: 2227
メッセージ: PASS

se (スウェーデン)
電話番号: 72225
メッセージ: PASS

us (アメリカ合衆国)
電話番号: 23333
メッセージ: PASS

回答された値が、上記の国でない場合、マルウェアは、電話番号「00000」に、メッセージ「WUUT」を送信します。

マルウェアは、上記の電話番号から送信されるメッセージを遮断します。そして、パラメータを利用した以下のWebサイトへアクセスします。

  • http://<省略>.<省略>.146.102/?=<高額の料金が発生する電話番号>///<メッセージ>

  対応方法

対応検索エンジン: 9.200
Trend Micro Mobile Security パターンバージョン: 1.179.0
Trend Micro Mobile Security パターンリリース日: 2012年1月24日

手順 1

トレンドマイクロモバイル機器用セキュリティ対策対応方法

ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。

手順 2

Android端末の不要なアプリケーションを削除します。

[ 詳細 ]

ご利用はいかがでしたか? アンケートにご協力ください