• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

世界のセキュリティ・ラボから

Androidを狙ったIRCボット

2012/01/27 日経コミュニケーション

 今回はAndroid関連と、SNS(Social Networking Service)関連の話題を紹介する。

 ロシアのカスペルスキーラボは、初めてAndroid向けIRCボットを確認したとしてブログで注意を促した。どのように拡散したかはまだ明らかになっていないが、その不正アプリケーションは、自身を「MADDEN NFL 12」ゲームとしてアイコン表示する。

ホームスクリーンに現れた不正アプリのアイコン

 ファイルサイズは5Mバイト以上あり、実体はマルウエアコンポーネントをシステム上に投下するトロイの木馬である。マルウエアコンポーネントは、root(管理者)権限を奪取する攻撃コード(ルートエクスプロイト)、SMS型トロイの木馬、IRCボットがセットになっている。不正アプリケーションは「/data/data/com.android.bot/files」ディレクトリーを作り、すべてのユーザーに書き込み/読み取り/実行を許可する「777」パーミッションを設定する。その後、「header01.png」(ルートエクスプロイト)、「footer01.png」(IRCボット)、「border01.png」(SMS型トロイの木馬)の3ファイルを抽出し、777パーミッションをheader01.pngファイルに適用して実行する。最後に「(0x14)Error - Not registred application」というエラーメッセージをスクリーンに表示する。

 攻撃が成功するとデバイスのroot権限が奪われ、footer01.pngファイル(IRCボット)が起動する。IRCボットはまず最初に「rm」コマンドを使って「etc/sent」を見つける。

IRCボットのrmコマンド

 次にIRCボットは、「chown」コマンドを使ってborder01.pngファイル(SMS型トロイの木馬)のオーナーを「('root')/group('root)」と設定し、「644」パーミッションを適用する。

644パーミッションを適用するコード

 続いて「pm install」コマンドを使ってSMS型トロイの木馬をインストールし、「am start」コマンドを用いて立ち上げる。

border01.pngファイルのインストールと起動

 このSMS型トロイの木馬は「Foncy」の変種の一つだが、あまり手を加えられていない。従来バージョンと同様に「getSimCountryIso」メソッドを使ってSIMカードの国籍情報を取得する。SMS型トロイの木馬は、フランス、ベルギー、スイス、ルクセンブルク、カナダ、ドイツ、スペイン、英国、モロッコ、シエラレオネ、ルーマニア、ノルウェー、スウェーデン、米国の高額サービス番号リストを持っている。

 「abortBroadcast」メソッドを用いて、リスト上の高額サービス番号から送られてくるすべてのメッセージを遮断するところは従来バージョンのFoncyと変わらないが、高額サービス番号からの全メッセージをリモートサーバーにアップロードする点が異なる。

 IRCボットは、SMS型トロイの木馬を起動させたのち、IRCサーバーへの接続を試みる。接続すると、IRCサーバーからシェルコマンドを受け取り、感染した端末上でそれを実行する。

 カスペルスキーラボは、IRCボットがルートエクスプロイトおよびSMS型トロイの木馬と組み合わせられていることを、興味深いと指摘する。これらは効率的に動作し、この場合サイバー犯罪者は感染したスマートフォンのすべてのアクセス権を奪って、望むことをなんでも実行できてしまう。

ここから先はITpro会員(無料)の登録が必要です。

次ページ 公式Androidマーケットに新たな不正アプリ
  • 1
  • 2
  • 3
  • 4

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る