- 本文はフォーティネット セキュリティ ブログの抄訳です。
執筆者: Axelle Apvrille
2011年7月4日12:50 am
Mark Balanzaは、SMSのリレーとして活動する、新しいAndroidマルウェアであるAndroid/CruseWin.A!trを発見しました。
この悪意のあるアプリケーションはリモートC&Cサーバに接続して、そこからXML設定ファイルを入手します。このXML設定ファイルは、C&CサーバがSMSのリレーとして、ボットが実行することを望むコマンドを含むことになります。
特に、XML sendタグは、感染したモバイルフォンを利用して、特定の電話番号に対して特定の本文を添えてSMSを送るようにセットされます。次に、この電話番号が、電話番号のリストに追加されます。そして、悪意のあるアプリケーションがこの電話番号のリストに対してSMSのリレーとして活動するようになります。特定の電話番号が(SMSによって)返信したら、返答は自動的にXML insmsタグで書かれたURLに転送されます。
さらに正確に言うと、このマルウェアは、シリアル化された"insms"とSMS返答の本文のペアを運ぶJSONオブジェクトによって当該URLに対してHTTP POSTを実行します。
URLにSMSをリレー
結果として、感染した携帯電話はいくつかの電話番号とC&Cサーバとの間でSMSのリレーとして活動します。Mark Balanzaは攻撃を実行する興味深い動機について示唆しています。彼の投稿から"可能性のある動機"を読んでみたいと思います。
このSMSリレー機能に加えて、マルウェアが行なうその他の機能について調査したいと思います。
- url: マルウェアが攻撃を開始したら、特定のURLに対して、"sms"/"true"というペアを含むJSONオブジェクトでHTTP POSTを送信します。
- delete: 私が分析したサンプルはこのコマンドを実行するコードを(まだ)含んでいないようですが、シンタックスから、このコマンドはSMSのリレーとなる電話番号のリストから特定の電話番号を取り除いていることが簡単に推測できます。
- listapp:マルウェアはそのデバイス上にインストールされたすべてのアプリケーションのリストをpostします。
アプリケーションのリストをpost
- clean: さらに、そのマルウェアは指定されたアプリケーションをリモートからアンインストールすることができます。これはGoogleのリモートKill Switchに似ていますが、攻撃者によってコントロールされています・・・
- update:マルウェアの現在のバージョンが設定ファイルで特定されたものと異なっている場合、自動的に指定のURLにアクセスします。
listapp / clean機能は、(2004年のBagleやMyDoomと同じように)AVソフトウェアや競合のボットを削除しようとするモバイルマルウェアの初期の兆候でしょうか。このサンプルを共有してくださったTrend Micro社に感謝いたします。
- the Crypto Girl
