大金稼ぎのモバイルボットネット「Android.Bmaster」

2012.02.24

　今回は新手のマルウエアや攻撃手法/ツールなどに関するブログを紹介する。

　米シマンテックはAndroidアプリケーション配信ストアで見つかった新たなトロイの木馬型マルウエア「Android.Bmaster」を報告した。このマルウエアは正当な電話設定用アプリケーションに仕込まれ、公式のAndroidマーケットではなく、サードパーティーの配信ストアで提供されていた。

　シマンテックが関連のマルウエア制御（C＆C）サーバーを解析したところ、ボットネットの存続期間を通じて接続された感染デバイスの総数は数十万台に達することが分かった。これほどの規模になると、ボットネット管理者（ボットマスター）にとって利益につながる可能性がある端末は1日当たり1万～3万台に上り、感染率を維持すれば年間数百万ドルを稼ぐことができる。シマンテックによるとボットマスターは2011年9月からこの感染率を保っている。トロイの木馬が仕込まれたアプリケーションは中国の非公式マーケットからのみダウンロード可能であるため、ボットネットは中国のモバイルユーザーを狙ったものと判断される。ボットネットの稼働期間を考えると、既にボットマスターは数十万ドルを稼いでいると見られる。

トロイの木馬が仕込まれたアプリケーションのスクリーンショット

　トロイの木馬が仕込まれたアプリケーションが動作すると、元になっている正規のソフトウエアとAndroid.Bmasterの両方がインストールされ、感染した携帯電話からリモートサーバーへの接続が確立される。マルウエアは一部のユーザーデータと端末データをリモートのアドレスに送信し、APKファイルをサーバーからダウンロードして実行を試みる。マルウエアの第2段階としてダウンロードされたこのファイルはRAT（Remote Access Tool）の一種で、リモートサーバーでコマンドを発信して端末を遠隔操作するために使われる。

　このマルウエアと通信しているサーバーを調べると、さらに27のAndroidアプリケーションがダウンロード可能になっていることが分かった。すべてのサンプルにAndroid.Bmasterが確認され、マルウエアファイルの日付により、このC＆Cサーバーによる感染が2011年9月から行われていることが判明した。サーバーでは、Android.Bmasterに感染したすべてのスマートフォンを監視しているらしいアプリケーションが見つかった。これによりシマンテックは感染規模を判断できた。

感染端末の監視画面

　感染端末のほとんどは中国のユーザーが所有するもので、端末識別番号（IMEI）、加入者識別番号（IMSI）、エリアコード、基地局情報（Cell ID）、モバイルネットワーク識別番号がマルウエアによって転送され、地域情報はC＆Cサーバーの画面に反映される。またボットマスターの手によって、中国の2大モバイルキャリアからのメッセージを遮断するよう設定されている形跡があった。

　Android.Bmasterは端末情報と位置情報を盗む以外にも多くの機能を備えている。前述したように、このマルウエアはリモートサーバーからコマンドを受け取ることができる。シマンテックはこれまで、テキストメッセージを送信する機能、送られてくるテキストメッセージを遮断する機能、通話相手の電話番号や通話時間を記録する機能、通話発信する機能、接続されるC＆Cサーバーを更新する機能、WAPアクセスを記録および確立する機能などを確認した。さらにこのボットネットが感染記録などの大量のデータをC＆Cサーバーに保存することも分かった。

　金銭的な動機を背景にしたこのボットネットは、感染端末に有料サービスの代金を支払わせようとする。特定の中国モバイル通信事業者2社のユーザーにターゲットを絞り、他のネットワークの端末が感染しても、ボットマスターはそれらを対象から外す。ボットマスターは位置情報やモバイルキャリアによってルールを設定し、各端末ごとに実行するアクションを決める。感染端末がC＆Cサーバーに最初につながると、デバイスタイプ、マルウエアのバージョン、位置、モバイルキャリアに応じてルールを割り当てる。その端末から接続する有料サービスを指定し、メッセージ送信や通話を実行したり、ペイパービュー方式のビデオ視聴を実行させたりする。有料サービスに接続する頻度やビデオ視聴時間といった細かい設定も行える。

2012年1月1日のアクティブな感染記録

　すべての感染端末がこうした機能に適しているわけではないが、相当数の感染端末で実現できる。C＆Cサーバーは何台の端末がアクティブに収益を生み出しているか毎日記録している。2012年2月6日は1万1000台、2012年1月1日は2万9000台だった。中国の有料SMSサービスはメッセージ1件当たり約15セントから30セントと、大した金額ではないが、アクティブな感染端末の台数の多さや、ユーザーがすぐには感染に気づかないことを考えれば、金額は一気に膨れ上がる。例に挙げた日付の感染端末台数を下限と上限だとすると、ボットマスターが稼ぐ料金は1日当たり1600ドル～9000ドル、年間にして54万7500～238万5000ドルという計算になる。