※この記事は本社サイト「Naked Securiy」掲載の記事を翻訳しています※
以前に、情報窃取ツールキットである Zeus の Android コンポーネント (別名 Zitmo) を発見したことをお知らせしました。
その後、Zeus ツールキットと Andr/SMSRep-B との関連について新たに明らかになった情報をお伝えします。
Kaspersky Labs の Denis 氏の尽力により、偽の Trusteer Rapport アプリケーションが、Zeus/Zbot ボットネット用の C&C サーバーとして設定されている悪意のある Web サイトに関連していることが確認されました。
サーバー側の Zeus アプリケーションは、HTTP リクエストのユーザーエージェント文字列をチェックし、ブラウザのタイプに応じた悪意のあるペイロードを配信します。
Android の場合には、デフォルトのブラウザのユーザーエージェント文字列は、"Mozilla/5.0 (Linux; U; Android 2.2)..." のようになっているため、オペレーティングシステムを簡単に判別することができます。
一方、マルウェアが正規のウイルス対策ソフトウェアを偽装するという従来型の戦略が Android でも広まっているようです。
Trusteer の次に標的になっているのは Kaspersky です。 昨日も正規の Kaspersky Antivirus 2011 のように見せかけてパッケージをユーザーにインストールさせようとする Android マルウェアの検体を分析する機会がありました。
このアプリケーションパッケージは、Kaspersky Lab のアイコンに似せていますが、その実際の機能は正規の製品とは全く異なっています。
パッケージを起動すると、マルウェアは一意のデバイス ID 番号を取得し、その ID を「アクティベーションコード」に変換しようとします。 この偽のアクティベーションコードは、標準の Android 画面に表示されます。
このバックグラウンドでは、ブロードキャストレシーバーがインストールされ、SMS メッセージは傍受され、攻撃者によって設定された Web サーバーへと送信されることになります。
幸運なことに、このマルウェア (ソフォスでは、Andr/SMSRep-C として検出) の場合、C&C Web サーバーの IP アドレスが 127.0.0.1 (localhost) となっており、マルウェアは完全に動作しないようになっています。
明らかに、これは単に初期段階のテストビルドである可能性が高いので、本来の悪意のあるサーバーに接続するように設定された次のバージョンに対して、私たちは十分に警戒する必要があります。
Andr/SMSRep-B と Andr/SMSRep-C の機能は非常に似ていますが、コードを見る限り、同じ作成者によって開発されたものではないようです。
150ヶ国で 1億人以上のユーザーが、複雑な脅威やデータ漏えいの阻止に、ソフォス製品を使用しています。ソフォスは、管理・導入・使用が簡単で、総管理コストが業界で最も低い、セキュリティ対策とデータ保護のソリューションに専念しています。ソフォスでは、グローバルに展開する脅威解析センター、SophosLabs の支援を受けて、暗号化、エンドポイントセキュリティ、Web、電子メール、ネットワークアクセス コントロールなど、評価の高い製品を提供しています。20年以上にわたる経験を持つソフォスは、セキュリティおよびデータ保護の業界リーダーとして第一級のアナリスト団体から高い評価を受け、多くの受賞歴を誇ります。