米シマンテックが、Androidを狙った新たなマルウエア「Android.Lightdd」についてブログで説明している。

 Android.Lightddは、「Android.Rootcager」(別名「Droid Dreams」)の後続種と見なされているという。Droid Dreamsは、Android端末のルート権限を奪おうとするマルウエアで、同種のマルウエアとしては最初にユーザー環境で検出された。

 ただLightddにはトロイの木馬化されたパッケージが加えられており、パッケージの名前が「lightdd」で終わっている。検出当初の報告では、Lightddが関連しているパブリッシャーのアカウントは5件だったが、シマンテックはさらにもう1件発見した。いずれのアカウントも現在は停止になっているという。

写真●Android.Lightddを説明する画像

 LightddがDroid Dreamsの後継種だとされているのは、どちらも公式の経路を通じてダウンロード可能になっていたため。ダウンロード率の高さを類似点として、「Droid Dreamsの再来」だと話題になっているのだという。ただLightddは、Rootcagerと違ってステムレベルの不正アクセスは行わない。またデバイスを感染前の状態に容易に復旧できる。

 Lightddは「CoreService」という機能を実行する不正コードベースを含むほか、再パッケージされたアプリケーションには「prefar.dat」という構成ファイルが付加され、DESで暗号化された三つのURLが記載されている。これらURLは不正ホストとの連絡を確立するために使用されるもので、現在は遮断されている。

 マルウエアは一度ホストに接続すると、デバイスのモデル、言語、国、端末識別番号(IMEI)、加入者識別番号(IMSI)、OSバージョンなどの端末情報と、デバイスにインストールされているパッケージ名のリストを送信する。

 Lightddは根本的にダウンロード型トロイの木馬だが、Androidのセキュリティモデルに従っているためユーザーがインストールに同意しない限りダウンロードは実行されない。ユーザーに追加のペイロードをダウンロードするよう促す手段はいくつかあるが、それより気になる点は、Android用アプリケーション配信/販売ストア「Android Market」のリンクがダウンロードリポジトリーとして使われていたことだと、シマンテックは指摘している。

アダルトサイトのユーザー2万6000人のパスワード流出

 次に、最近盛んにいろいろな攻撃を仕掛けている「LulzSec」と名乗る攻撃グループについてのブログを紹介しよう。英ソフォスのブログだ。内容は、LulzSecがアダルトサイトのユーザー約2万6000人のログインパスワードを不正入手した事件について。

 LulzSecは「Pron」サイトのデータベースに侵入し、2万5000人以上のメンバーの電子メールアドレスとパスワードを盗んだほか、別のアダルトサイトの管理者55人の機密情報も入手し、これらを公開した。Pronサイトにアカウント登録していた電子メールアドレスには、政府や軍関連の「.mil」「.gov」ドメインが含まれていたという。

 LulzSecはさらに追い打ちをかけるようなことを思いついた。これら電子メールアドレスとパスワードを使ってSNSサイト「Facebook」にログインし、当該ユーザーの友達や家族にアダルトサイトを利用していたことを教えようと、ミニブログサービス「Twitter」のフォロワーに呼びかけたのだ。

写真●メールアドレスとパスワードの悪用を呼びかけるメッセージの画像

 幸いなことに、Facebookのセキュリティチームは迅速に対応し、公開された電子メールアドレスと一致するアカウントのパスワードをすべてリセットした。しかし、同じ電子メールアドレスとパスワードの組み合わせがほかのサイトにも使われている可能性はある。

 パスワードが一つ流出すると、攻撃者が別のアカウントにもアクセスして金融情報などを盗み出すのは時間の問題だ。また今回のケースのようにばつが悪い思いをする可能性もある。

 もし同じパスワードを複数のWebサイトに使う習慣があるなら、今すぐにその習慣をやめるべきだと、ソフォスは忠告している。