カテゴリー別アーカイブ: Uncategorized

PC から Android 端末に勝手にアプリをインストールするマルウェア

pc_android_malware_2Android アプリ市場は世界中で非常に競争が激化しており、開発者が自分のアプリを認知してもらうことは大変難しくなっています。 最近はトロイの木馬のような技術を使って勝手にアプリをインストールしてしまう、アンダーグラウンドなマーケットまで登場しているようです。

AVG VirusLab (ウイルス研究所) が最近、中国の Android アプリマーケットを調査したところ、大変興味深い PC ベースのマルウェアに遭遇しました。 PC と直接接続された Android 端末に、ユーザーに一切通知せず、 アプリをインストールしてしまう、というものです。

Android アプリは Google Play ストアだけで 190 万 種類も存在しています。 世界には他にも大きなアプリマーケットがありますので、その数はさらに膨らみます。 それを考えると、このようなアプリが開発者達の興味をかきたてるのもわからないことではありません。 新しいアプリの宣伝は、ますます難しく、費用のかかるものになってきているからです。

例えば、端末にアプリをプリインストールすることは、アプリが注目され、マーケットシェアを獲得して最も成功できる方法の一つですが、極めてコストがかかり、限られた数の端末ベンダーと契約にまでこぎつけるのは容易ではありません。

その一方で、中国のアンダーグラウンドの闇マーケットなら、より安価でアプリをインストールさせる手段を提供しています。 我々が確認したところでは、「cyber café alliance」 とか 「fast step union」 などと呼ばれる、特別な「提携」業者を介してそれは行われています。

このような業者は、ハッカーやディストリビュータの集団、インターネットカフェ、フィッシングサイト/サーバーなど、必要なものに簡単に利用できるよう便宜を図ります。 彼らは組織化され、計画的に行動してアプリの販売、配布サービスの提供に集中します。

以下で紹介するものは、そのような宣伝目的のトロイの木馬の典型例で、いかがわしい方法でソフトウェアやアプリの宣伝と配布をするために設計されたマルウェアです。

このマルウェアの場合、PC にダウンロードされたところから活動が始まりますが、 PC そのものに危害を加えるのではなく、目的は別のところにあります。 巧妙なテクニックを使い、例えば PC にモバイル端末のドライバが存在していなければ、それをインストールして準備を整えます。

そこから先は、 PC にモバイル端末を接続する度に 「アプリのプロモーションリスト」 をダウンロードし、そこにあるアプリを勝手に端末にインストールするのです。

サーバーからデバイスドライバをダウンロード:
picture1

サーバーのレスポンス:

{ “platform”:”android”, “service”:”winusb”, “args”:””, “dl”:”http://222.186.60.89:1001/driver/Android/Google/Google64.zip”, “md5″:””, “size”:””}

Adb その他のコンポーネントをダウンロード:
picture2a

アプリリストをダウンロード:
picture2

リストの例:

adb.exe を使用してアプリをインストール:
picture4

下の画面ショットで確認できるアプリは、このマルウェアによってインストールされたものです。
picture5

このマルウェアは定期的にアップデートされています。 弊社が調査した時点での最新版は 1.7 で、起動する度にリモートサーバーをチェックし、最新版をダウンロードしていました。
picture6

サーバーに問い合わせてバージョンを確認:

問い合わせに対するサーバーのレスポンス:

このマルウェアの開発は継続して行われ、性能も向上していました。 以下は我々が確認したバージョン (一部) です。 開発しているのはしっかり組織されたチームの可能性があります。
screen_shot_2016_02_03_at_10.51.11_pm

しかし、そもそもこのようなマルウェアがどうやってユーザーの PC に入り込むのでしょうか。 答えは、上で述べたような提携業者を経由してインストールされてしまうのです。

我々の調査では、中国語で ‘领跑吧网吧联盟 (英語名: Leading runner cyber café alliance)’ と ‘快步网盟 (英語名: Fast step net union)’ と呼ばれている 2 つのインターネットカフェ業者を確認しています。 彼らの配布サーバーとクライアントアプリ (一部) は次のものです:

AVG はこの種のマルウェアを “Agent5.ZKR” としてすでに特定し、他の脅威と同様にユーザーの端末を保護しています。

AVG VirusLab (2016年2月19日)