マルウェア

またまたご無沙汰しておりました。本日までのMalware情報です。

• Android.Finfish (Symantec.: 08/30)
• Android.Backscript (Symantec.: 09/04)
• Android.Enesoluty (Symantec.: 09/05)
• Android.Lotoor (Symantec.: 09/05)
• Android.Temai (Symantec.: 09/17)
• Android.Backapp (Symantec.: 09/27)
• Android.Aplog (Symantec.: 10/09)
• Android.FakeLookout (Symantec.: 10/19)

過去の情報収集系Malwareは端末の識別情報やアドレス情報、SMS/MMSメッセージなどを収集するものが多く見られましたが、最近のMalwareは端末内のファイルや写真も収集するようです。

FinFishは端末の情報を搾取するMalwareです。端末の識別情報からSMSやMMSメッセージといった情報以外に端末内のファイル、写真を収集するようです。
BackappはSMSを用いてコマンドを送信し.3gp .amr .jpg ファイル、GPS ロケーション、SMS メッセージを収集します。
Aplogは端末でアプリケーションのインストール/アンインストールを記録してデータベースに保存し情報収集サーバに送信します。

今回はDropperも2件公開されました。
BackScriptは悪質なスクリプトをダウンロードするDropperです。TemaiはPUPをダウンロードしインストールを試みるDropperです。

最後のFakeLookoutは実在のアンチマルウェアベンダの名を語る情報収集Malwareです。過去にも偽アンチマルウェアツールが発見されていますが、今回は実在する製品名称を用いてGooglePlayで配布されたことから今後の影響が心配されます(Bouncer先生働いてください)。 FakeLookoutはSMS/MMSメッセージ、圧縮した端末内のファイル、端末内のファイル一覧をFTPサーバに送信します。
このMalwareの特異な点はなんと言ってもManifestファイルです。505もの端末のアクション(ほぼ全てのアクション)をトリガにアプリケーションのサービスが起動するつくりになっています。パーミッションが並ぶManifestファイルは良く見かけますが、Intentが並ぶManifestはこれが始めてです。

ちなみにFakeLookoutについてはAndroidMalwareResearchProjectでも公開されていますので興味のある方はこちらもどうぞ。