“Qvod” はかつて中国国内で有名だった動画プレーヤーでしたが、著作権侵害による罰金のためにその開発会社は2014年にアプリの開発および配信を停止しました。それにもかかわらず、最近私たちは数多くの偽Qvodアプリを発見しました。
これらの偽アプリの共通点は、正規アプリのアイコンを流用したり、ポルノ画像をアイコンとして利用することで、ユーザーをだましてインストールさせようとすることです。さらに、この偽アプリでは、ユーザー情報の収集、SMSメッセージの送信や受信SMSのブロック、他のアプリ(マルウェアを含む)のダウンロードおよびデバイス管理者機能の要求といった様々な悪意ある動作が含まれています。
これらの悪意あるアプリは主にフォーラム、違法なビデオサイト、IMグループなどを通じて、「真夜中のビデオプレーヤー」や「アダルトシアタープレーヤー」などのアプリ名称で配布されています。
偽Qvodアプリのアイコン
ユーザーがこのマルウェアをインストールし実行すると、デバイス管理者権限の有効化を要求します。ユーザーがこの要求を承諾するまで、全画面でスクリーンを占有し執拗にデバイス管理者権限を要求し続けることでユーザー操作を妨害します。さらに、ユーザーがマルウェアをアンインストールするため端末を操作しようすると強制的にデスクトップ画面に戻されてしまうため、ユーザーは通常の手順ではこのマルウェアをアンインストールすることができません。
デバイス管理者権限の有効化を強制する様子
次にマルウェアは、バックグラウンドでユーザー情報を収集し、攻撃者のサーバーにアップロードしている間に、ユーザーに対してコンテンツの支払いを要求します。また、他のアプリをバックグラウンドでダウンロードしてユーザーにインストールさせるよう促します。
アプリの自動ダウンロードの様子
アンインストール方法
これらのマルウェアアプリは通常の手順ではアンインストールすることができないため、次の手順でマルウェアをアンインストールしてください:
まず、アンインストールを行うために、マルウェアによるスクリーンロックを妨害します。
スクリーンロックを妨害するコード
そして、次の方法で、デバイス管理者権限の無効化画面を最前面に移動させます。
デバイス管理者権限の画面を最前面に移動するコード
最後に、マルウェアをアンインストールするため、アンインストール画面を最前面に移動させます。
アンインストール画面を最前面に移動させるコード
もし万が一、より高度な妨害行為が実装されている亜種に感染してしまった場合には、上記方法ではアンインストールできないかもしれません。その場合には、端末を工場出荷時に戻すか、端末をROOT化した上でアンインストールを試みる必要があるかもしれません。
McAfee Mobile Securityは、この脅威をAndroid/KboVedioとして検出し、ユーザーのモバイル端末を保護します。
※本ページの内容はMcAfee Blogの抄訳です。
原文ː Banned Chinese Qvod Lives on in Malicious Fakes
著者ː Wenfeng Yu