遅くなりましたが、新しいMalware情報です。
- Android.Notcompatible (Symantec: 5/2) C&Cサーバに接続し、Proxyとして攻撃者に利用されるTrojan
関連して…
- UPDATE: Security Alert: Hacked Websites Serve Suspicious Android Apps (NotCompatible) (LookoutBlog: 5/2)
- Android を狙うトロイの木馬と連動した Web サイトインジェクション攻撃 (SymantecBlog: 5/7)
今回発見されたMalwareは、Malwareのダウンロードを行うiframeを挿入されたWebサイトにアクセスすることで拡散しています。
ユースケースとしては以下のようになります。
(1)改ざんされたWebサイトにアクセス
(2)Webサイトに仕組まれたiframeからUpdate.apk(Malwareのパッケージ)が自動でダウンロードされる
(3)ダウンロードすると通知領域にダウンロードが完了したことを示す通知が表示される
(4)この通知をタップするとインストール画面に遷移
(5)ファイル名から何かしらのアップデートと想像するユーザがそのままインストール
(6)Malwareのインストール完了
という流れです。
ただし、今回のケースはGooglePlayを経由していないため、インストール時に端末の設定で「提供元不明のアプリ」にチェックが入っていないと(4)のタイミングで警告が表示されます。
Update.apkという名称から何の疑問もなく(若しくはアップデート=しなければいけないものという強迫観念的な心理から)「提供元不明のアプリ」のチェックを入れてまでインストールを試みるケースもあるかもしれません。
ちなみに、今回のMalwareは従来のAndroid端末をターゲットとしたMalwareとは異なる特徴があります。
1つにMalwareの拡散方法が、(サードパーティ含め)アプリマーケット中心だった従来と異なり、Webサイトを改ざんしアプリのダウンロードを試みるという点。
2つに情報搾取や不正課金(有料SMS)が主流だった従来のMalwareと異なり、リモート操作による踏み台を目的とした機能を有しているという点。
3つにコードをみると、Proxyの実装にソケットレベルからコーディングされていたり、C&Cサーバのアドレス等のリソースをAESで暗号化している等、他のアプリやサンプルコードの劣化コピーとは異なりコードに無駄がなくかなり洗練されている印象がある点
このことからPCのMalware(Bot)に近い印象を受けました。
@lumin さんからも「AndroidのRATもすでにどこかにあるらしいですよ。」というお話を伺いました。
Androidの世界にもBotネットの脅威が近づいているのかもしれません。
0 件のコメント:
コメントを投稿