セキュリティを楽しく学ぶ、触れる。セキュリティごった煮ブログ

ネットエージェント
セキュリティごった煮ブログ

 コース:元祖こってり

「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。

Android を狙う標的型攻撃用のマルウェアを解析してみた

昨日、ロシアのセキュリティ企業 Kaspersky Lab が、Androidを狙った標的型攻撃を確認したと、ブログ上で公開しました。
日本でも本件が、記事として取り上げられております。

■Kaspersky、Androidを狙った初の標的型攻撃発生を報告
http://www.itmedia.co.jp/enterprise/articles/1303/27/news034.html

今回、標的型攻撃メールに添付されたアンドロイドアプリ「Conference(WUC's Conference.apk)」を
弊社のアンドロイドアプリ解析サービス「secroid(セキュロイド)」で解析してみました。

icon


「Conference」のアイコン


診断結果は下記の通り。危険度が「HIGH」と診断されました。

★secroid での診断結果
http://secroid.jp/d/7/7/d/APK_b6511332331bc8bc64e8bdb1cd915592b29f4606.html

・連絡先の電話番号を利用します
・通話履歴を利用します
・SMS/MMSのメッセージを読み取ります
・GPSによる位置情報米国のサーバに送っていることになります
・SIMの連絡先を利用します

など、ニュース記事の内容と一致する結果となりました。

また、そのほかにもアプリの起動条件として、

・スクリーンがオンになったとき
・デバイスにアプリが追加されたとき
・壁紙が変わったとき

などの脈絡のない動作条件が含まれることが判明しました。
不正なプログラムが実行される機会を増やすことで、情報窃取の成功率を高める意図が
感じ取れます。

さらに、このアプリは com.google.services という、Google のアプリ名を装い、署名まで Google を偽装しており、見かけ上、一般ユーザになんとなく安心感を与える工夫がされています。

攻撃の目的は不明ですが、無差別でなく標的を絞った攻撃手法は今後も開発されていきそうです。
とりあえず、メールに添付されたアプリはインストールしないべきですね。

最後に、おまけとして「Conference」のアプリ情報と、アプリ起動時に表示される文章を掲載します。

■「Conference」アプリ情報
パッケージ名 : com.google.services
バージョン情報: 1.0
アクセスURL http://64.78.xxx.xxx [米国]
署名者情報: C=US, ST=California, L=Mountain View, O=Android, OU=Android, CN=Android/emailAddress=android@android.com

■「Conference」起動時の表示文章

WUC。ッs Conference
in Geneva

On behalf of all at
the Word Uyghur
Congress (WUC),
the Unrepresented
Nations and Peoples
Organization (UNPO)
and the Society for
Threatened Peoples
(STP), Human
Rights in China:
Implications for
East Turkestan,
Tibet and
Southern Mongolia
In what was an
unprecedented
coming-together of
leading Uyghur,
Mongolian, Tibetan
and Chinese
activists, as well
as other leading
international
experts, we were
greatly humbled by
the great
enthusiasm,
contribution and
desire from all in
attendance to make
this occasion
something
meaningful, the
outcome of which
produced some
concrete,
action-orientated
solutions to our
shared grievances.
We are especially
delighted about the
platform and
programme of work
established in the
declaration of the
conference, upon
which we sincerely
hope will be built
a strong and
resolute working
relationship
on our shared goals
for the future.
With this in mind,
we thoroughly look
forward to working
with you on these
matters.

Dolkun lsa
Chairman of the
Executive
Committee
Word Uyghur
Congress

メルマガ読者募集 採用情報 2020年卒向けインターンシップ

月別