今回はAndroid関連と、SNS(Social Networking Service)関連の話題を紹介する。
ロシアのカスペルスキーラボは、初めてAndroid向けIRCボットを確認したとしてブログで注意を促した。どのように拡散したかはまだ明らかになっていないが、その不正アプリケーションは、自身を「MADDEN NFL 12」ゲームとしてアイコン表示する。
ホームスクリーンに現れた不正アプリのアイコン
ファイルサイズは5Mバイト以上あり、実体はマルウエアコンポーネントをシステム上に投下するトロイの木馬である。マルウエアコンポーネントは、root(管理者)権限を奪取する攻撃コード(ルートエクスプロイト)、SMS型トロイの木馬、IRCボットがセットになっている。不正アプリケーションは「/data/data/com.android.bot/files」ディレクトリーを作り、すべてのユーザーに書き込み/読み取り/実行を許可する「777」パーミッションを設定する。その後、「header01.png」(ルートエクスプロイト)、「footer01.png」(IRCボット)、「border01.png」(SMS型トロイの木馬)の3ファイルを抽出し、777パーミッションをheader01.pngファイルに適用して実行する。最後に「(0x14)Error - Not registred application」というエラーメッセージをスクリーンに表示する。
攻撃が成功するとデバイスのroot権限が奪われ、footer01.pngファイル(IRCボット)が起動する。IRCボットはまず最初に「rm」コマンドを使って「etc/sent」を見つける。
IRCボットのrmコマンド
次にIRCボットは、「chown」コマンドを使ってborder01.pngファイル(SMS型トロイの木馬)のオーナーを「('root')/group('root)」と設定し、「644」パーミッションを適用する。
644パーミッションを適用するコード
続いて「pm install」コマンドを使ってSMS型トロイの木馬をインストールし、「am start」コマンドを用いて立ち上げる。
border01.pngファイルのインストールと起動
このSMS型トロイの木馬は「Foncy」の変種の一つだが、あまり手を加えられていない。従来バージョンと同様に「getSimCountryIso」メソッドを使ってSIMカードの国籍情報を取得する。SMS型トロイの木馬は、フランス、ベルギー、スイス、ルクセンブルク、カナダ、ドイツ、スペイン、英国、モロッコ、シエラレオネ、ルーマニア、ノルウェー、スウェーデン、米国の高額サービス番号リストを持っている。
「abortBroadcast」メソッドを用いて、リスト上の高額サービス番号から送られてくるすべてのメッセージを遮断するところは従来バージョンのFoncyと変わらないが、高額サービス番号からの全メッセージをリモートサーバーにアップロードする点が異なる。
IRCボットは、SMS型トロイの木馬を起動させたのち、IRCサーバーへの接続を試みる。接続すると、IRCサーバーからシェルコマンドを受け取り、感染した端末上でそれを実行する。
カスペルスキーラボは、IRCボットがルートエクスプロイトおよびSMS型トロイの木馬と組み合わせられていることを、興味深いと指摘する。これらは効率的に動作し、この場合サイバー犯罪者は感染したスマートフォンのすべてのアクセス権を奪って、望むことをなんでも実行できてしまう。
