今回はまず、Androidマルウエアを利用した標的型攻撃についてのブログから紹介しよう。ロシアのカスペルスキーラボが確認し、詳細な調査結果をブログで発表している。カスペルスキーラボは、スマートフォンに対する標的型マルウエアが開発されている兆候には気づいていたが、攻撃が実行されるのを確認するのは今回が初めてだと報告している。
具体的には、3月24日に、著名なチベット人活動家の電子メールアカウントがハッキングされ、連絡先情報に登録されている他の活動家や人権擁護者に対してスピアフィッシングメールが送信された。フィッシングメールには、Android向けプログラム(APKファイル)が添付されていたという。
スピアフィッシングメールの内容
添付ファイルの名前は「WUC's Conference.apk」となっており、最近、人権団体の世界ウイグル会議(WUC)などによってスイスのジュネーブで開催されたカンファレンスに関係しているように見せかけている。サイズが33万4326バイトのこのファイルは、カスペルスキーラボが「Backdoor.AndroidOS.Chuli.a」として検出している。
同APKファイルをインストールすると、「Conference」という名前のアイコンがホーム画面に現れる。Conferenceアプリケーションを立ち上げると、会議に関する連絡が表示される。
アプリケーションを立ち上げて表示されるメッセージ
このメッセージが表示されている間に、マルウエアはマルウエア制御(C&C)サーバーに密かに感染を報告し、その後、デバイスに格納されている情報を収集し始める。盗み出すデータには、端末本体とSIMカードに保存されている連絡先情報、通話記録、SMSメッセージ、位置情報のほか、電話番号やOSのバージョンなど携帯電話に関するデータが含まれる。
データを盗むと、マルウエアはSMSメッセージが送られてくるのを待つ。SMSメッセージを受け取ると、「sms」「contact」「location」「other」のいずれかのコマンドが含まれているか確認し、含まれていれば、盗んだデータをBase64でエンコードしてC&Cサーバーに送信する。
C&Cサーバーとマルウエア間のやりとりを示すコード
コードには、全体にわたって中国語で記述された様々なメッセージが含まれている。これらはデバッグ目的で書かれたものと思われ、このマルウエアが早期プロトタイプである可能性を示している。使用されているドメイン「DlmDocumentsExchange.com」は3月8日に登録されたもの。登録サービスは「SHANGHAI MEICHENG TECHNOLOGY INFORMATION DEVELOPMENT」という会社が行っている。
C&Cサーバーはまた、「Document.apk」ファイルを配信するインデックスページをホスティングしている。Document.apkは33万3583バイトのファイルで、先述のAPKファイルと同様の機能を持つが、表示するメッセージは異なる。メッセージには、日中関係や尖閣諸島に関する内容が中国語で書かれている。またC&Cサーバーは「Windows Server 2003」ベースで構築され、中国語で設定されている。これらの分析結果から、攻撃者は中国語を話す者たちだと考えれる。
C&Cサーバーの設定画面
