米トレンドマイクロは2011年10月4日、Androidで動作する新たなウイルス(悪質なプログラム)を確認したとして注意を呼びかけた。攻撃者のブログに置かれたプログラムをダウンロードして、自分自身をアップデートすることなどが特徴。
今回報告されたウイルスは、Androidで動作する電子書籍リーダーアプリに見せかけている(図1)。非公式のアプリ配布サイトで公開されているという。
実行されたウイルスはAndroid端末に感染。その端末を乗っ取り、攻撃者が遠隔から操作できるようにする。感染したウイルスは、“司令塔”となる特定のサーバー(C&Cサーバー;コマンド&コントロールサーバーと呼ばれる)にアクセスし、攻撃者からの命令を待ち受ける。ここまでは、よくあるAndroidウイルスの挙動だ。
異なるのは、司令塔に加えて、あるブログサイトにもアクセスすること。アクセスするのは、攻撃者の支配下にあるブログページ。攻撃者は、このページに命令やプログラムをアップロードすることでも、ウイルスを操作できる。
例えば、本来の司令塔サーバーが使えなくなった場合には、代わりとなる司令塔サーバーのURLを記述したファイルを、ブログにアップロードする(図2)。ファイルは暗号化されているので、そのまま見ても分からない。
ブログには、ウイルスをアップデートするためのプログラムが置かれることもある(図3)。同ブログにアクセスしたウイルスは、そのプログラムをダウンロードして、自分自身をアップデートする。
同社によれば、ブログを悪用するウイルスは、これが初めてではないという。Windowsで動作するウイルスの中には、ブログを悪用するものが確認されている。だが、Androidで動作するウイルスとしては、今回のウイルスが初めてだろうとしている。