トレンドマイクロは、2012年6月下旬、当ブログにて「ANDROIDOS_BOTPANDA.A」として検出されるAndroid端末向け不正プログラムが利用する技術について報告。この不正プログラムは、感染した端末から自身の削除を難しくするよう特定のファイルを変更する機能を備えています。この不正プログラムの被害を受けたユーザのために、トレンドマイクロでは、「ANDROIDOS_BOTPANDA.A」によって変更されたファイルを修復する特別なツールを公開しています。この修復ツールは、「BotPanda Cleaner」と呼ばれ、Google Play からダウンロードいただけます。
セキュリティブログ:
/archives/5396
■“libvadgo” を含む48個のユーティリティアプリ
さらに詳しく調査したところ、libraryファイル “libvadgo” を含む48個の個別のユーティリティアプリとしてパッケージされた55個もの不正なファイルを確認しています。この内、28個のアプリが、2012年6月19日現在もオンライン上で確認できます。ユーザは、通常、非公式のアプリ配信ストアでこれらのアプリを発見し、無料でダウンロードすることができます。現在までのダウンロードの数を計算したところ、これらのアプリは少なくとも31,000回ものダウンロードが行われたようです。
以下は、不正なlibraryファイルとともにパッケージし直されたアプリの例です。
| アプリ名 | パッケージ名 |
|---|---|
| FMR Memory Cleaner | com.fantasmosoft.new |
| SuperSU | eu.chainfire.newsupersu |
| 签名点ME | eu.chainfire.newsupersu |
| Move2SD Enabler | com.iozhu.zyl |
| Chainfire3D | eu.chainfire.new |
| Squats | com.northpark.newsquats |
| 无线探测器 | net.szym.barnacle |
| Sit Ups | com.northpark.new |
| 程序隐藏器 | ccn.andflyt.new |
| Screenshot UX | com.nyzv.shotux |
インストールされると、これらのアプリは正常に機能し、不自然な活動をユーザに表示することはほとんどありません。実際、これらのトロイの木馬化されたアプリは、悪意あるデベロッパーによって不正なコードおよび “libvadgo” を含むパッケージへの変更が施されており、そして配布されます。
■「ANDROIDOS_BOTPANDA」の注意すべき活動
「ANDROIDOS_BOTPANDA.A」は、感染端末内のファイルの置換、重要なシステムコマンドのフックおよび特定のプロセスを終了することで、検出および削除を困難にします。しかし、Android端末向けアプリを開発するためのツール「Android SDK」を利用して作成される多くの Android向け不正プログラムの不正活動は単純なため、容易に検出されます。近い将来、セキュリティリサーチャーにとって解析が難しいこの手口を用いるさらに悪質な不正プログラムやトロイの木馬化されたアプリが登場するかもしれません。
「ANDROIDOS_BOTPANDA.A」は、“libvadgo” を経由して不正リモートユーザが操作する不正なコマンド&コントロール(C&C)サーバと通信を行います。これにより、不正リモートユーザが感染端末上でコマンドを実行し、ユーザに気付かれることなく情報収集などを含む活動が可能になります。
解析では、この不正プログラムは、ルート化されている端末上で動作することが確認されています。ルート化された端末で動作するということは、不正プログラムや不正リモートユーザが感染端末のルート権限を容易に得ることができるということです。以下の図は、「ANDROIDOS_BOTPANDA.A」の注意すべき活動についての概要です。
 |
「ANDROIDOS_BOTPANDA.A」がモバイル端末にインストールされて不正プログラムが既に変更を施している場合、トロイの木馬化したアプリの検出および削除することは簡単ではありません。
■トレンドマイクロが提供する「ANDROIDOS_BOTPANDA.A」の修復ツール
トレンドマイクロは、「ANDROIDOS_BOTPANDA.A」によって作成された不必要なファイルや変更変更されたファイルの削除および修復を行うツール「BotPanda Cleaner」を公開しています。この修復ツールは、Android 2.3 または Android 4.0 を搭載している Android端末で実行できます。この修復ツールは、不正プログラムの被害を適切に修復するためにルート権限を必要とします。そのため、ルート化された端末でのみ実行されます。このツール自体は、端末をルート化することはありません。
このツールが備える機能の詳細は、以下のとおりです。
ユーザが「Delete(削除)」ボタンをクリックすると:
この不正プログラムが存在するため、特に非公式のアプリ配信サイトからアプリをダウンロードする場合、ユーザは細心の注意を払わなければなりません。ユーザが何が安全かを判断するために、「ウイルスバスターモバイル for Android」は、不正なファイル(拡張子LIB)を含むアプリを検出します。
こうした Android端末を狙う脅威の被害を避けるためには、Android端末を取り巻く環境を理解して、PC と同様のセキュリティ対策を講じることをお勧めします。
- セキュリティソフトやサービスを導入し、適切に運用すること
- Android端末の標準装備のセキュリティ機能を活用すること(「設定」-「現在地情報とセキュリティ」)
- 「Wi-Fi」の自動接続を無効にすること
- 公式の Androidマーケットや信用ある Androidマーケット以外を利用しないこと
- アプリをダウンロードする際、デベロッパーを確認し、ユーザのレビューにも一読すること
- ダウンロードするごとに、アクセス許可項目を確認し、許可する前に、そのアプリの機能上必要がどうか、十分に確認すること
最新スマートフォン特集
http://is702.jp/special/991/partner/155_m/
参考記事:
by Wiechao Sun (Mobile Threats Analyst)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)
【更新情報】
| 2012/07/05 | 16:10 | [訂正] 不正なLibraryファイルを含むアプリの数を42から48に訂正致します。 |