中国で先週末、Android携帯電話ユーザの間でSMSワームが拡散しているとの報道がありました。感染した端末は50万台以上に及んだようです。
端末上のアドレス帳に登録された連絡先に以下のようなSMSメッセージを送信することでこのマルウェアは拡散します:
このマルウェアは単なるワーム以上のものです。実際には、これはワーム+トロイの木馬の構成となっています。トロイの木馬部分は、元のインストールパッケージに含まれる別のパッケージとして存在します。
マルウェアがインストールされると、このトロイの木馬がインストール済みかどうかを確認し、そうでなければユーザにインストールを促します。
インストール後、マルウェアは、このマルウェアの作者のものであると思われるコントロール・サーバの電話番号宛にSMSメッセージを送り、新たな被害者が感染したことを伝えます。
その後さらに、ユーザにIDと名前を入力するよう促し、それらの情報を同じくコントロール・サーバに送信します。
トロイの木馬は端末上でのSMSの受信を監視し、コントロール・サーバの電話番号宛に全ての受信SMSを転送します。また、以下のコマンドを実行します:
- readmessage: 全てのSMSメッセージを取得し、マルウェア作者のメールアドレス宛に送信する
- sendmessage: メッセージ本文内の電話番号にメッセージを送信する
- test: マルウェア作者にテストメッセージを送信する
- makemessage: 偽のメッセージを作成し、受信フォルダに挿入する
- sendlink: ユーザのアドレス帳の内容をマルウェア作者のメールアドレス宛に送信する
ユーザのIDカード番号、本名、SMSメッセージを用いることで、マルウェア作者は、ユーザの銀行口座情報を盗んだり、オンライントレードを乗っ取ったり、送金したりすることに一歩近づきます。中国のいくつかの銀行は、顧客がIDカード番号とパスワードで口座にアクセスすることを可能にしています。
私たちは、このマルウェアサンプルの2つのバージョンを確認しています。それらのペイロードは、片方には拡散のためのワーム機能が含まれていないことを除き、ほぼ同じです。マルウェア作者は、ワーム機能を追加することでより多くの端末を感染させたいと考えたのでしょう。
McAfee Mobile Securityはこれらの脅威をAndroid/XSchenqi.Aとして検出します。
報道によれば、このマルウェア作者は、単に自分の能力を証明したいという理由でマルウェアを開発した大学生だそうです。人々の関心を引く興味深い方法だといえるでしょうか。
※本ページの内容はMcAfee Blogの抄訳です。
原文: Chinese Worm Infects Thousands of Android Phones
著者: Michael Zhang (Mobile Malware Researcher)
