Android アプリ市場は世界中で非常に競争が激化しており、開発者が自分のアプリを認知してもらうことは大変難しくなっています。 最近はトロイの木馬のような技術を使って勝手にアプリをインストールしてしまう、アンダーグラウンドなマーケットまで登場しているようです。
AVG VirusLab (ウイルス研究所) が最近、中国の Android アプリマーケットを調査したところ、大変興味深い PC ベースのマルウェアに遭遇しました。 PC と直接接続された Android 端末に、ユーザーに一切通知せず、 アプリをインストールしてしまう、というものです。
Android アプリは Google Play ストアだけで 190 万 種類も存在しています。 世界には他にも大きなアプリマーケットがありますので、その数はさらに膨らみます。 それを考えると、このようなアプリが開発者達の興味をかきたてるのもわからないことではありません。 新しいアプリの宣伝は、ますます難しく、費用のかかるものになってきているからです。
例えば、端末にアプリをプリインストールすることは、アプリが注目され、マーケットシェアを獲得して最も成功できる方法の一つですが、極めてコストがかかり、限られた数の端末ベンダーと契約にまでこぎつけるのは容易ではありません。
その一方で、中国のアンダーグラウンドの闇マーケットなら、より安価でアプリをインストールさせる手段を提供しています。 我々が確認したところでは、「cyber café alliance」 とか 「fast step union」 などと呼ばれる、特別な「提携」業者を介してそれは行われています。
このような業者は、ハッカーやディストリビュータの集団、インターネットカフェ、フィッシングサイト/サーバーなど、必要なものに簡単に利用できるよう便宜を図ります。 彼らは組織化され、計画的に行動してアプリの販売、配布サービスの提供に集中します。
以下で紹介するものは、そのような宣伝目的のトロイの木馬の典型例で、いかがわしい方法でソフトウェアやアプリの宣伝と配布をするために設計されたマルウェアです。
このマルウェアの場合、PC にダウンロードされたところから活動が始まりますが、 PC そのものに危害を加えるのではなく、目的は別のところにあります。 巧妙なテクニックを使い、例えば PC にモバイル端末のドライバが存在していなければ、それをインストールして準備を整えます。
そこから先は、 PC にモバイル端末を接続する度に 「アプリのプロモーションリスト」 をダウンロードし、そこにあるアプリを勝手に端末にインストールするのです。
サーバーからデバイスドライバをダウンロード:

サーバーのレスポンス:
{ “platform”:”android”, “service”:”winusb”, “args”:””, “dl”:”http://222.186.60.89:1001/driver/Android/Google/Google64.zip”, “md5″:””, “size”:””}
Adb その他のコンポーネントをダウンロード:

アプリリストをダウンロード:

リストの例:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
{ “list” : [{
“dl” : “http://222.186.60.128:1501/522/TTAPKYH_ZX_AG_595_20150826_2.0.0.2.a”,
“pn” : “org.funcity.runrunner.yh.zx”,
“md5” : “9441ce1595fa1d9a4577263d2c30307a”
},
{
“dl” : “http://222.186.60.128:1501/522/MHLS_AG_906_20151109_1.0.0.1.a”,
“pn” : “com.ltestany.catmouse”,
“md5” : “21b4ba7356f93c4e206455c42a2fc275”
},
{
“dl” : “http://222.186.60.128:1501/512/BDMSN_ch_white308.a”,
“pn” : “com.tunimei.p8.bai.bdmsn42”,
“md5” : “f732fa12b1754caaf70822fb3dc81dfb”
},
{
“dl” : “http://222.186.60.128:1501/522/BYDR3JJB_AG_375_20150907_1.0.0.9.a”,
“pn” : “com.you2game.fish.qy.zx1”,
“md5” : “73411890e59a099606122e39fe01c0dc”
},
{
“dl” : “http://222.186.60.128:1501/512/qqbrowser_6.1.2.1715_22411.a”,
“pn” : “com.tencent.mtt”,
“md5” : “0d8cd219f36e445ef483cf42da5aaca4”
},
{
“dl” : “http://222.186.60.128:1501/522/com.qihoo.gameunion_41611.a”,
“pn” : “com.qihoo.gameunion”,
“md5” : “dfe5a616507560a49c16831d12b882a0”
},
{
“dl” : “http://222.186.60.128:1501/522/CFQMJS_AG_610_20150811_1.0.0.3.a”,
“pn” : “com.aiwan.sniper212.zxcps.zx1”,
“md5” : “8446863713d13cb047029f867167f785”
},
{
“dl” : “http://222.186.60.128:1501/512/Sogou_Explorer_1493.a”,
“pn” : “sogou.mobile.explorer”,
“md5” : “63e3b5c44796ac43fd3eb99d568c6525”
},
{
“dl” : “http://222.186.60.21:1501/522/xiuba-3.3.0-3262-1-TEST1.a”,
“pn” : “com.xiu8.android.activity”,
“md5” : “721a40131f83bee2874904fb332c8de5”
}]}
|
adb.exe を使用してアプリをインストール:

下の画面ショットで確認できるアプリは、このマルウェアによってインストールされたものです。

このマルウェアは定期的にアップデートされています。 弊社が調査した時点での最新版は 1.7 で、起動する度にリモートサーバーをチェックし、最新版をダウンロードしていました。

サーバーに問い合わせてバージョンを確認:
|
http://222.186.60.89:9023/?action=getVersion&pcid=6C78A9C3_%3CMACHINE_NAME%3E&nowVer=1.1&pid=109&subpid=&runas=exe
|
問い合わせに対するサーバーのレスポンス:
|
{ “renew” : “0”, “version” : “1.7”, “dl” : “http://222.186.60.128:1123/setup/appmain.v1.7.exe” }
|
このマルウェアの開発は継続して行われ、性能も向上していました。 以下は我々が確認したバージョン (一部) です。 開発しているのはしっかり組織されたチームの可能性があります。

しかし、そもそもこのようなマルウェアがどうやってユーザーの PC に入り込むのでしょうか。 答えは、上で述べたような提携業者を経由してインストールされてしまうのです。
我々の調査では、中国語で ‘领跑吧网吧联盟 (英語名: Leading runner cyber café alliance)’ と ‘快步网盟 (英語名: Fast step net union)’ と呼ばれている 2 つのインターネットカフェ業者を確認しています。 彼らの配布サーバーとクライアントアプリ (一部) は次のものです:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
[File]
kuaibu8=http://4IG7UpAH.adkuai8.com:7000/iniuser/
szicoad=http://4IG7UpAH.adkuai8.com:7000/ico/
wbzzlm=http://4IG7UpAH.adkuai8.com:7000/wbzzlm/
[update]
Startupdate=yes
kuaibu8=kuaibu8
szicoad=szicoad
wbzzlm=wbzzlm
[server]
01=down01.kuaibu8.com:5505
02=down01.kuaibu8.com:5505
03=down01.kuaibu8.com:5505
04=down01.kuaibu8.com:5505
05=down01.kuaibu8.com:5505
06=down01.kuaibu8.com:5505
07=down01.kuaibu8.com:5505
08=down01.kuaibu8.com:5505
09=down01.kuaibu8.com:5505
10=down01.kuaibu8.com:5505
[dllhost]
yewu01=/updata/adclient/ie/ieadd.dll
yewu02=/updata/adclient/cpu/cpuvod.dll
yewu05=/updata/adclient/desk/tequangame.exe
yewu06=/updata/adclient/desk/desk1.exe
yewu09=/updata/adclient/pcfen/app.dll
yewu10=/updata/adclient/sohu/adpc.exe
yewu98=/updata/adclient/baidu/baidu.dll
yewu100=/updata/adclient/online/ipdong.dll
yewu101=/updata/adclient/online/letvst.exe
[yewu01]
zhuyeid=/updata/adclient/baidu/baidu.dll
daohang=/updata/adclient/baidu/baidu.dll
[MD5]
pc.dll=19F7823A7CFE41AC7391BA1C8C402D4B
ieadd.dll=B72A680F93B3EE939FD5ED7818BB28FB
cpuvod.dll=C98A50E044DE1BC9E3E0ED3B7B334231
baidu.dll=37E8DBBF71D48CE87B6D21362A4E2E69
tequangame.exe=A36BCA657DA769E928FC1F746759E66F
desk1.exe=6438B7830D7B110CDF2CDF017AC6EF69
app.dll=5E782960BB0EABB41E756E58381CB5DA
adpc.exe=ED596AB4CABE52680A97073C29BCAC6D
ipdong.dll=5C6F0FEE74493D76F6EBA01BBC741190
2345ieadd.exe=93E32D9C0D647EC2DA4E456398905947
ieadd360.dll=136E8CA0987C754EEBFBCC7164307E78
letvst.exe=6283F091AE24944D487A67FC0C92DD46
wyvip.exe=689DBD3CED0D2A1404DD5ED1E6B06EB6
bdbrowserSetup–7.6.504.2877–1811_10003289.exe=095D58F8A54AC364836A7BA4AA802D25
|
AVG はこの種のマルウェアを “Agent5.ZKR” としてすでに特定し、他の脅威と同様にユーザーの端末を保護しています。
AVG VirusLab (2016年2月19日)