マルウェア

しばらく溜め込んでいたらこんな事に…。

McAfee

• Android/Anserver.A (McAfee Inc.: 1/26)
• Android/DrdDreamLite.T (McAfee Inc.: 1/26)
• Android/FoncyDropper.A (McAfee Inc.: 1/26)
• Android/OneClickFraud.D (McAfee Inc.: 1/26)
• Android/OneClickFraud.E (McAfee Inc.: 1/26)
• Android/PJApps.ZR (McAfee Inc.: 1/26)
• Android/Qicsomos.A (McAfee Inc.: 1/26) プレミアムSMSの送信
• Android/Sinuroot.B (McAfee Inc.: 1/26) RootedTool
• Android/AppHnd.A (McAfee Inc.: 1/31)
• Android/FakeInstaller.E (McAfee Inc.: 1/31)
• Android/IRCBot.A (McAfee Inc.: 1/31)
• Android/NickiSpy.B (McAfee Inc.: 1/31)
• Android/Toplank.HAppHnd.B (McAfee Inc.: 1/31)
• Android/Toplank.IAppHnd.C (McAfee Inc.: 1/31)
• Android/Toplank.JAppHnd.D (McAfee Inc.: 1/31)
• Android/Toplank.KAppHnd.E (McAfee Inc.: 1/31)
• Android/Woobooleaker.A (McAfee Inc.: 1/31) 組み込まれている広告モジュールが電話番号やIMEIを搾取する
• Android/FakeInstaller.F (McAfee Inc.: 2/3)
• Android/DIYDoS.A (McAfee Inc.: 2/17) 特定のWebサイトにDoSを試みるTool
• Android/FunzTools.A (McAfee Inc.: 2/17) Rooted及びカスタマイズTool
• Android/GGTracker.A (McAfee Inc.: 2/17)
• Android/DrdLive.A (McAfee Inc.: 2/17) 端末内情報の搾取とプレミアムSMSの
• Android/RootSmart.A (McAfee Inc.: 2/17) DrdLive.Aをダウンロードする

Symantec

• Android.Bmaster (Symantec.: 2/3)
• Android.Gappusin (Symantec.: 2/15)
• Android.Pirator (Symantec.: 2/16)
• Android.Loicdos (Symantec.: /2/18)

随分とたくさん見つかったものです。
相変わらず端末内情報の搾取とプレミアムSMSの送信を行うMalwareがいるわけですが、今回は一味違った特徴的なMalwareがいくつかあるので、まとめてみます。

端末のRooted・カスタマイズTool - Android/Sinuroot.B, Android/FunzTools.A

以前よりRootedToolはちらほら出ていたのですが、最近すっかりなりを潜めていました。ここにきてまたぽろぽろと出てきました。
こういったRootedToolは、OS自体や端末プラットフォームの脆弱性を利用したものなので、脆弱性がなくなれば根本的に無効化することができます。
まぁ、こういったRootedToolを使って自ら端末のRootedを行う人がいるのでしょうが、中身も分からずこういうToolを使うのはやめましょうね。

DoSTool - Android/DIYDoS.A

こちらは攻撃用のToolです。以前にWi-Fiを経由してノードを攻撃するToolなんていうのがありましたが、このアプリは特定のWebサイトに対する攻撃の為に作られたToolのようです。

広告モジュールも検知するようになりました

昨年末辺りからMalware対策ベンダも広告モジュールを検知する方針に変えたのかAdwareやPUPとして検知するモジュールが増えてきました。
以前は広告ベンダの様子を伺ってか、検知対象のMalwareと同じ情報を搾取していても「悪質」ではないとして検知していなかったのですが、最近はアプリ自体の機能に問題が無くても広告モジュールに問題があれば検知する方向に進められているようです。この調子でいくと世の中のアプリのほとんどが検知対象になるのではないかと違う意味で心配になります。

さて、そんな広告モジュールの中で、Android/AppHnd.AがMcAfeeからPUP認定を受けて公開されました。これは、最近(私の中で)話題のApperHandモジュールすなわち Android.Counterclank 及び Trojan.AndroidOS.Plangton.a に相当するものです。

当初McAfeeではAndroid/Toplank(Symantec名Android.Tonclank)の亜種の扱いでしたが、その後AppHndという別種扱いに変更したようです。そのため Toplank.H, I, J, K がそれぞれ AppHnd.B, C, D, E に改名されています。

ApperHandと言えば、いつも話題に上がる超光懐中電灯無料アプリですが、2/20時点でバージョンアップされたようで、更新内容は特定端末のLEDライト対応という名の下ApperhandモジュールのUpdateも行われておりました。
こちらについては現在解析中です。(AndroidSecurity本セミナーまでには終わらせたいけど間に合わなさそう…)