2012 年 2 月のブログで、Android.Bmaster(別名 Rootstrap)についてご報告しました。数十万台のデバイスが感染し、その時点で、それまでに記録された最大のモバイルボットネットでした。最近その Bmaster の規模を上回ったのが、新たに発見された MDK ボットネットです。Android.Troj.mdk と命名され、Kingsoft 社によれば 7,000 種類以上のアプリに潜伏して、最大 100 万台ものデバイスに感染したと考えられています。
シマンテックの解析では、MDK Trojan を Android.Backscriptの新しい亜種と判定しています。この脅威のグループの検出定義は 2012 年 9 月に追加されました。MDK のコードは Android.Backscript に酷似しており、APK の署名に使われている証明書も同じです。従来のバージョンと異なるのは、今回の亜種が AES(Advanced Encryption Standard)アルゴリズムを使って、サーバーやコマンドなど、ファイル内のデータを暗号化している点です。
図 1. MDK と Android.Backscript で同じ証明書が使われている
図 2.暗号化されたサーバーやコマンドが含まれるファイル
トロイの木馬がインストールされると、攻撃者はユーザーのデバイスをリモート制御できるようになり、ユーザーデータを収集したり、別の APK をダウンロードしたり、迷惑広告を表示したりすることも可能になります。スクリプトや別の APK のダウンロードには、次のサーバーが使われています。
app.looking3g.com
トロイの木馬は、正規のアプリ、たとえば Temple Run や Fishing Joy といった人気ゲームなどに再パッケージ化され、ユーザーを騙してマルウェアのインストールを誘います。検出を回避するために、動的ロード、データの暗号化、コードの不明瞭化といった手段も使われています。
図 3.トロイの木馬が仕掛けられた Temple Run で、データを暗号化する「m」という悪質なサービスが起動
シマンテックは、この MDK を Android.Backscriptとして検出します。この検出定義ですでに 11,000 もの悪質なアプリを検出しています。トロイの木馬が仕掛けられたアプリは、ほとんどが中国のサードパーティマーケットで見つかっていることから、感染は中国に限定されるものと見られます。
Android デバイスをお使いの方は、安全のために、アプリは信頼できる既知のアプリベンダーだけからダウンロードすること、そしてノートン モバイルセキュリティや Symantec Mobile Securityなどのセキュリティアプリをデバイスにインストールすることをお勧めします。スマートフォンやタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。