進化するマルウェア

先日USB接続したWindowsPCから盗聴する機能を持つAndroidMalware、Ssucl (aka claco)が話題になりました。
このマルウェアを調べる為に検体を探していると、幾つかのバージョンが存在していることが確認できました。
どうやらこのMalwareは最初からWindowsでの盗聴機能を持っていたわけではなく、バージョンアップを繰り返す過程で追加していたようです。

発見した検体は以下のとおりです

smart.apps.superclean

Sample:1
VersionCode:4
VersionName:1.3
TimeStamp:2012/11/6

Sample:2
VersionCode:8
VersionName:1.7
TimeStamp:2012/11/10

Sample:3
VersionCode:9
VersionName:1.8
TimeStamp:2012/11/11

Sample:4
VersionCode:11
VersionName:2.0
TimeStamp:2013/1/3

確認できている最も古い検体が11月6日のVer1.3です。そこから11月11日のVer1.8までかなり頻繁に更新している様子が伺えます。
この検体で最も興味深いのはこれら各バージョンで実装されている機能です。
SymantecやKasperskyの情報ではVer2.0でUSBを介したWindowsでの盗聴機能や様々なリモート操作機能について触れられています。
しかし過去のバージョンをさかのぼると、これらが最初から実装されていたわけではなくバージョンアップとともに機能拡張を繰り返していることがわかります。

各バージョンで実装されている機能を以下の表にまとめてみました

コマンド実装の差分があるのは1.3から1.7(1.8)、1.7(1.8)から2.0です。
(1.7と1.8の差分はコマンド出力箇所に改行が加わった点とSD_MAPのロジックが若干変更された点のみでした)
1.3の時点では、SMSや電話のコントロールと端末内ファイルの収集が主であったようです。
1.3から1.7の間に電話の転送、アドレス情報の収集、Androidの認証情報取得、コマンドの実行、USBAutorunAttackの実行が追加されています。
さらに2.0では、パッケージ情報の収集、着信音制御、Dropboxの認証情報取得、ネットワーク情報の取得、位置情報の取得が追加されています。

1.3の時点では従来とさほど変わらない機能をもった(ありふれた)マルウェアだったようですが、発見されるまでの間に特徴的な機能を追加し独自の進化を遂げている様子が伺えます。

Androidの場合最新の検体を入手するのも困難なケースも多々あり、このように過去のバージョンをさかのぼってマルウェアの進化の過程を垣間見る

ことが出来るのは極めて珍しいといえます。
(セキュリティベンダさんのように常時クローリングして過去のバージョンから検体を収集していれば別ですが…)

そして、現時点でさほど機能のないマルウェアでもある日「進化」を遂げて私たちの新たな脅威になる可能性があることを今回の事例から想定しておくべきかもしれません。