Windows システムへの感染を試みる Android マルウェアについては、以前にお伝えしたことがあります。たとえば Android.Clacoは、autorun.inf ファイルと一緒に悪質な PE ファイルをダウンロードして SD カードのルートディレクトリに配置します。感染したモバイルデバイスが USB モードでコンピュータに接続されたときに、そのコンピュータで AutoRun 機能が有効になっていると、Windows は自動的に悪質な PE ファイルを実行してしまいます。
シマンテックが最近発見した例は、これと逆方向の動作をするという点で注目に値します。Windows 上の脅威が Android デバイスへの感染を試みるのです。
感染の段階は、Trojan.Droidpakという名前のトロイの木馬から始まります。Trojan.Droidpak は悪質な DLL(これも Trojan.Droidpak として検出されます)を投下し、システムサービスとして登録します。この DLL が以下のリモートサーバーから設定ファイルをダウンロードします。
- http://xia2.dy[削除済み]s-web.com/iconfig.txt
次に、侵入先のコンピュータの以下の場所に悪質な APK をダウンロードするために、設定ファイルを解析します。
- %Windir%\CrainingApkConfig\AV-cdk.apk
DLL は、Android Debug Bridge(ADB)などの必要なツールもダウンロードします。
次に ADB をインストールし、図 1 に示したコマンドを使って、侵入先のコンピュータに接続されている Android デバイスに悪質な APK をインストールします。
図 1.悪質な APK をインストールするコマンド
接続時にモバイルデバイスに感染したことが確認されるまで、インストールは何度も試行されます。インストールに成功するには、Android デバイスで USB デバッグモードが有効になっている必要もあります。
この悪質な APK は Android.Fakebank.Bの亜種であり、Google App Store という名前のアプリに偽装しています。
図 2. Google App Store という名前に偽装した悪質な APK
実際には、悪質な APK は侵入先のデバイス上で韓国の特定のオンラインバンキング用アプリを探し、アプリが見つかった場合にはユーザーにそれを削除して悪質なバージョンをインストールするよう求めます。また、Android.Fakebank.B は、侵入先のデバイスで SMS メッセージを傍受して、以下の場所に送信します。
- http://www.slmoney.co.kr[削除済み]
図 3.悪質な APK のコードの抜粋
この新しい感染経路による被害に遭わないために、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
- Android デバイスで USB デバッグを使わないときには機能を無効にしておく。
- 信頼できないコンピュータにモバイルデバイスを接続する場合には注意する。
- ノートン モバイルセキュリティなど、信頼できるセキュリティソフトウェアをインストールする。
- モバイルセキュリティの Web サイト(英語)で、安全性に関する一般的なヒントを参照する。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。