- 本文はフォーティネット セキュリティ ブログの抄訳です。
執筆者: Axelle Apvrille
2011年6月16日3:13am
AndroidマルウェアであるDroidKungFuは、以下のURLにレポートを戻します。
http://[REMOVED]fu-android.com:8511/search/rpty.php http://[REMOVED]fu-android.com:8511/search/getty.php http://[REMOVED]fu-android.com:8511/search/sayhi.php
この応答IPアドレス上のWHOISは、以下の極めて特異な情報を添えてリプライしています。そのIPアドレスは有名な中国の電話会社のモバイル デバイス(電話、タブレット、2G/3G接続のコンピュータのいずれか)のものであると思われます。もちろん、すぐにこの電話会社に警告しました。通常、モバイルフォンに対する攻撃(特にコマンド・アンド・コントロール サーバ)はインターネット上のホスト サーバから行なわれるので、この出来事はかなり驚くべきことです。
$ whois [REMOVED]6.37.93 ... inetnum: [REMOVED]4.0.0 - [REMOVED].255.255 netname: [REMOVED]NET-JS descr: [REMOVED]NET jiangsu province network descr: [REMOVED - Belongs to a Chinese operator] Telecom descr: A12,Xin-Jie-Kou-Wai Street descr: Beijing 100088 country: CN admin-c: CH93-AP tech-c: CJ186-AP mnt-by: APNIC-HM mnt-lower: MAINT-[REMOVED]NET-JS mnt-routes: MAINT-[REMOVED]NET-JS ... status: ALLOCATED PORTABLE source: APNIC
われわれは、このIPアドレスでホスト サーバのオペレーティングシステムに残る痕跡を収集しようとしました。
curl -F 'imei=12345899;managerid=yutian07' -A 'Mozilla/5.0 (Linux; U; Android 2.1-update1; en-us; ADR6300 Build/ERE27) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Mobile Safari/530.17' http://[REMOVED]fu-android.com:8511/search/sayhi.php OK
われわれは、他の組み合わせをいくつか試行することはできますが、これらの試行では、実行しているOSについて完全に解明されていません。
Telnetを試してみましょう。
これはCentOS上のApache 2.2.3です(おそらくそうです)。Port 22上の他のTelnetによると、SSH 4.3サーバも存在していることが分かります。
telnet [REMOVED]fu-android.com 22 Trying [REMOVED]7.93... Connected to [REMOVED]fu-android.com. Escape character is '^]'. SSH-2.0-OpenSSH_4.3
Androidフォン上でWebサーバとSSHサーバを実行することは技術上では可能ですが、おそらくパフォーマンスがあまり良くないと思われます。私が考えるに、Androidタブレットか2G/3G接続のコンピュータを使用した方が良いと思います。
このAndroidマルウェアで攻撃する動機について、何か他に推測することやコメントはありますか。あれば、投稿してください。
