トロイの木馬の暗号化スクリプトにAngry Birdsファンが驚愕

Google Playの無料アプリケーションで現在トップ50に入っているAngry Birds Spaceのような人気のゲームは、マルウェア作者にとって、新しい悪質コードを配布する絶好の材料となっています。最近、サードパーティーのAndroidマーケットで、ユーザーの同意なく、バックグラウンドでアプリケーションをダウンロードして評価する新しいマルウェアが挿入されたアプリが複数件確認されました。問題となっているアプリケーションのひとつがAngry Birds Spaceです。

このマルウェアはAngry Birds Spaceのプレミアム版を装っていますが、実際には、Google Playで提供されているアプリケーションの無料版です。トロイの木馬にされたものを逆コンパイルしたコードと、感染していないバージョンとを比較したところ、トロイの木馬版には、ユーザーがゲームを開くたび、またはデバイスが再起動されるごとに実行されるコードが挿入されていることが判明しました。

このコードは、バックグラウンドで動作し、悪質なコードを組み込んだパッケージの一部である「MyService」という名前のサービスを起動します。

サービスを始動すると、このマルウェアはIMEI、IMSI、SIMシリアル番号などのデバイス識別情報を送信し、感染デバイスをリモートサーバーに登録します。登録後、サーバーからは「ポイントを稼いでアドウェアを恒久的に削除できるアプリケーションをインストールしよう」というポップアップダイアログを1分半ごとに表示する値が送信されます。

ダイアログには、「現在、あなたのポイントは0で、50ポイントを切っています。無料広告をダウンロードすると多くのポイントを稼ぐことができ、ゲーム内の広告が恒久的に削除されます。ポイントが確実にあなたのアカウントに振り込まれるよう、アプリケーションがインストールされたら開いてください」と書かれています。

初期化が完了すると、挿入されたコードはIMEIと特定の識別情報をリモートサーバーに送信して、マルウェアのメインのペイロードをダウンロードします。コード内のパスワードは難読化されていますが、作成に使われたアルゴリズムを分析することで容易に入手できます。Zip内のファイルは、FScriptで作成されたコードです。FScriptは、J2ME環境のFScript版であるFScriptMEを使うことにより、小型デバイスや埋め込みデバイスでも、他のJavaプログラムに容易に埋め込むことが可能なスクリプト言語です。ダウンロードされたコードは動的にロードされ、スクリプト内の各関数がFScriptパッケージで実装された「callScriptFunction」命令を使って、dexファイルから実行されます。

この事例では、ダウンロードされたスクリプトが制御サーバーとの通信を開始してデバイスを登録し、初期パラメーター(APK(Androidアプリケーション)をダウンロードするURLと、広告のクリックを実行するWebページ)を入手しました。

他のパラメーターには、マルウェアがルーチンの実行(ループ)間隔を計算するのに使用する「sleep」値が含まれています。構成がロードされると、スクリプトはユーザーの同意なしにバックグランドで、「click」パラメーターで指定されたWebページ全体とアプリケーションをダウンロードします。すべてのファイルはSDカードの「download」フォルダに格納されます。

すべてのファイルが格納されると、「Title」および「Intro」パラメーターにある情報を使ってデバイスの通知が作成されます。ユーザーが通知をクリックすると、従来のインストール画面の代わりにダウンロードされたWebページが表示され、スクリーンショットや詳しい説明など、アプリケーションの詳細を見ることができます。

ユーザーが「Free Download」をタップすると、ダウンロードが始まる代わりに、イベントが傍受され、すでにダウンロードされたAPKがSDカードからインストールされます。インストールされるアプリケーションは表示されているものと異なる場合があります。

リモートサーバーから送信されたパラメーターが「pushdownapk」関数を実行する「type=5」と「godown=2」であったことから、上記のプロセスが実行されました。また、マルウェアの作者は、他のコマンドを実行して、デバイスにインストールされているすべてのアプリケーションを入手したり、自動化されたモバイルクリック詐欺を仕掛けたりすることもできます。モバイルクリック詐欺は、サードパーティーのマーケットでアプリケーションをダウンロードし、ネットワークトラフィックを特定のモバイル広告サイトに送信して、アプリケーションのダウンロードとインストールに成功したことが報告されると発生します。

今のところ、感染したアプリケーションによってダウンロードされるこれらのスクリプトの目的は、インストールを報告し、詐欺で収入を得ることです。しかし、スクリプトを変更して別の関数を追加したり、制御サーバーから送信されるパラメーターを変更して悪質なアプリケーションをインストールしたりすることにより、目的はいつでも変えられる可能性があります。

マカフィーモバイルセキュリティでは、この脅威をAndroid/Backscript.Aという名前で検出します。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Encrypted Scripts From Trojan Can Surprise Angry Birds Players

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速