マルウェア

最近多忙で壊れ気味です。

• Android.Gamex (Symantec:5/10)
• Security Alert: Gamex Trojan Hides in Root-Required Apps Tricking Users into Downloads (Lookout Blog:4/27)
• Android.Acnetdoor (Symantec:5/16)
• Android.Acnetsteal (Symantec:5/16)

しばらく仕事の方が忙しく更新滞ってしまいましたが、その間にもマルウェアは待ってくれませんでした。
ここ最近はAndroidをターゲットにしたマルウェアにちょっとした変化が見られ始めています。

まずはGameXです。
Symantecは5/10に情報を公開していますが、5/1にはこのTrojanの存在を確認していました。
どのベンダもこのTrojanの情報の公開には時間がかかっているようです。

このMalwareの動作についてはLookoutのBlogエントリが一番詳しく書かれているようですが、このTrojanはかなり手の込んだ事をしています。
難読化は当然のことながら、このMalwareの最大の特徴はasset/logo.pngにあります。

普段は全く気にしないファイルです。
Viewerで見ても

普通のアイコンファイルです。
ところがこのpngファイルをバイナリエディタで見てみると

これを見てわからない方に補足しますと、この"PK...から始まる部分はZipアーカイブのヘッダ部分になります。
その下にclasses.deと見えますね、こちらがZipアーカイブ内のファイルです。
端的に言うと、このpngファイルにはapkファイルが入っています。

このpngファイルに仕込んであるapkファイルを端末上に展開するという動きをしてるようです。

ここまでする意味もよくわかりませんが、今までの単純なMalwareと比較すると隠ぺい工作については格段に高度になってきています。
(Windowsの世界なら一般的な手法なのかもしれませんが…)

さて、続いてAndroid.AcnetdoorとAndroid.Acnetstealです。
こちらは前者がBackdoor、後者が電話番号とメールアドレスを搾取するInfoStealerです。
後者はともかく、前者のBackDoor、本当に増えてきてるみたいですね。

ちなみにこのMalware。Symantecで公開されたのが5/16で既にGooglePlayでは削除されています。
しかし、調査を進めていくと、このMalwareが思わぬところで公開されている事がわかりました。

置かれているノードは海外のレンタルサーバでした。こんな感じで公開されています。

生のソースコード、C&Cサーバと思われるプログラムなどなど開発物一式です。
そういえば以前0day.jpのヘンドリックさんも似たような発見してた気もします。(あのときはFakeTimerでしたね。)

• 【マルウェア警告】 #OCJP-026：日本でのワンクリック詐欺Androidマルウェアの開発サイトを発見しました。マルウェアコードとワンクリックPHP管理システムコードを発見！因みに、コードのコメントは日本語で書いてあります　【対応最中】(0Day.jp:) #ヘンドリックさんBlognoタイトルはもう少し短くして欲しい…

さて…これだけ調査対象があって本気で取り組みたいところなのですが、解析にかける時間がとれずともあれBlogの更新だけでもと言う事で今日はここまでとします。