セキュリティー インテリジェンス センター

Navigation
Mobile Signatures

ジュニパーネットワークス モバイル脅威センター(MTC)は、特にモバイル デバイス プラットフォームと技術を対象にしたセキュリティー、脆弱性、およびマルウェアの研究を 24 時間体制で専門に行っているユニークな組織です。 MTC では、ますます高度化する攻撃に加えて、モバイル サイバー犯罪の新しい脅威ベクトル、さらにモバイル デバイスやデータが悪用および乱用される可能性を調査します。

ANDROID

A.ADRD.1

名前 A.ADRD.1
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.10

名前 A.ADRD.10
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.11

名前 A.ADRD.11
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.12

名前 A.ADRD.12
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.13

名前 A.ADRD.13
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.14

名前 A.ADRD.14
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.15

名前 A.ADRD.15
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.16

名前 A.ADRD.16
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.17

名前 A.ADRD.17
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.18

名前 A.ADRD.18
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.19

名前 A.ADRD.19
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.2

名前 A.ADRD.2
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.20

名前 A.ADRD.20
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.21

名前 A.ADRD.21
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.22

名前 A.ADRD.22
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.23

名前 A.ADRD.23
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.24

名前 A.ADRD.24
カテゴリー
リリース日付 2011/03/29
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.25

名前 A.ADRD.25
カテゴリー
リリース日付 2011/09/07
更新番号 7

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.26

名前 A.ADRD.26
カテゴリー
リリース日付 2011/12/21
更新番号 43

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.27

名前 A.ADRD.27
カテゴリー
リリース日付 2011/12/21
更新番号 43

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.3

名前 A.ADRD.3
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.4

名前 A.ADRD.4
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.5

名前 A.ADRD.5
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.6

名前 A.ADRD.6
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.7

名前 A.ADRD.7
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.8

名前 A.ADRD.8
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.ADRD.9

名前 A.ADRD.9
カテゴリー
リリース日付 2011/03/09
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.Adrd.a1

名前 A.Adrd.a1
カテゴリー
リリース日付 2012/02/22
更新番号 50

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。 攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。 OS が起動してから 12 時間経過しているか、ネットワーク接続が変更されたか、デバイスが通話を受けた場合です。次に、ADRD は次の情報を収集しようとします。 3gnet、3gwap、APN、cmnet、cmwap、ハードウェア情報、IMEI、IMSI、ネットワーク接続、uninet、uniwap、Wifi の各情報です。続いて、このトロイの木馬は、盗み出した情報を暗号化して、送信することを試みます。 [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] が送信先となります。ここに挙げた情報をリモート サーバーに送信し終えると、ADRD は複数の HTTP リクエストを wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] に送信して、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取ります。このように検索を要求する目的は、Web サイトのランキングを上げることです。 ADRD は、sdcard/uc/myupdate.apk から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。

A.Android FlexiSpy.a

名前 A.Android FlexiSpy.a
カテゴリー
リリース日付 2010/03/22
更新番号 1

通話および SMS メッセージを記録してリモート サーバーに送信するトロイの木馬。 これは、実際にこの目的のために設計されたアプリケーションです。 しかし、目的を明らかにしないで密かに動作するため、トロイの木馬に分類されています。 FlexiSpy は複数の異なるパッケージに組み込まれ、サポートされる機能セットは増加しています。

A.Anserv.a

名前 A.Anserv.a
カテゴリー
リリース日付 2011/05/19
更新番号 1

Anserver は、Android デバイスを標的とする一連の悪意のあるアプリケーションです。 アプリケーションが Anserver に感染すると、マルウェアのデベロッパーが制御するリモート サーバーに接続する機能が組み込まれます。ユーザーの同意なしに他の悪意のあるペイロードをデバイスにダウンロードしてインストールすることが目的です。 また、モバイル セキュリティー アプリケーションを特定して強制終了しようとすることがわかっています。 また、Anserver は、ユーザーをだましてインストールさせるために、トロイの木馬化された正規のホスト アプリケーションにパッケージ化されます。 インストールが完了すると、Anserver に感染したアプリケーションは、ユーザーをだまして元のホストの偽の「アップグレード」に同意させることで、悪意のあるペイロードを「タッチ スクリーン」としてデバイスにインストールします。 インストールされた Anserver はさまざまな方法でトリガーされます。 たとえば、接続の変更、電源の接続、USB 大容量ストレージの接続または取り外し、SMS メッセージの受信、入力方法の変更、起動の完了、デバイスのロック解除などです。マルウェアの起動が成功すると、Anserver は Phone Home によって新しいコマンド&コントロール(C&C)サーバーのアドレスをチェックします。 接続が正常に完了すると、Anserver はプレーンテキストの XML でその C&C サーバー データベースを更新するためのコマンドを受信します。 最終的に、Anserver は機密性が高いと考えられるデバイス情報(OS バージョン、IMEI 番号、デバイスの製造元、およびデバイス モデル)をそのデベロッパーに送信できるようになります。

A.AnserverBot

名前 A.AnserverBot
カテゴリー
リリース日付 2011/12/21
更新番号 43

Anserver は、Android デバイスを標的とする一連の悪意のあるアプリケーションです。 アプリケーションが Anserver に感染すると、マルウェアのデベロッパーが制御するリモート サーバーに接続する機能が組み込まれます。ユーザーの同意なしに他の悪意のあるペイロードをデバイスにダウンロードしてインストールすることが目的です。 また、モバイル セキュリティー アプリケーションを特定して強制終了しようとすることがわかっています。 また、Anserver は、ユーザーをだましてインストールさせるために、トロイの木馬化された正規のホスト アプリケーションにパッケージ化されます。 インストールが完了すると、Anserver に感染したアプリケーションは、ユーザーをだまして元のホストの偽の「アップグレード」に同意させることで、悪意のあるペイロードを「タッチ スクリーン」としてデバイスにインストールします。 インストールされた Anserver はさまざまな方法でトリガーされます。 たとえば、接続の変更、電源の接続、USB 大容量ストレージの接続または取り外し、SMS メッセージの受信、入力方法の変更、起動の完了、デバイスのロック解除などです。マルウェアの起動が成功すると、Anserver は Phone Home によって新しいコマンド&コントロール(C&C)サーバーのアドレスをチェックします。 接続が正常に完了すると、Anserver はプレーンテキストの XML でその C&C サーバー データベースを更新するためのコマンドを受信します。 最終的に、Anserver は機密性が高いと考えられるデバイス情報(OS バージョン、IMEI 番号、デバイスの製造元、およびデバイス モデル)をそのデベロッパーに送信できるようになります。

A.AnserverBot.2

名前 A.AnserverBot.2
カテゴリー
リリース日付 2011/12/21
更新番号 43

Anserver は、Android デバイスを標的とする一連の悪意のあるアプリケーションです。 アプリケーションが Anserver に感染すると、マルウェアのデベロッパーが制御するリモート サーバーに接続する機能が組み込まれます。ユーザーの同意なしに他の悪意のあるペイロードをデバイスにダウンロードしてインストールすることが目的です。 また、モバイル セキュリティー アプリケーションを特定して強制終了しようとすることがわかっています。 また、Anserver は、ユーザーをだましてインストールさせるために、トロイの木馬化された正規のホスト アプリケーションにパッケージ化されます。 インストールが完了すると、Anserver に感染したアプリケーションは、ユーザーをだまして元のホストの偽の「アップグレード」に同意させることで、悪意のあるペイロードを「タッチ スクリーン」としてデバイスにインストールします。 インストールされた Anserver はさまざまな方法でトリガーされます。 たとえば、接続の変更、電源の接続、USB 大容量ストレージの接続または取り外し、SMS メッセージの受信、入力方法の変更、起動の完了、デバイスのロック解除などです。マルウェアの起動が成功すると、Anserver は Phone Home によって新しいコマンド&コントロール(C&C)サーバーのアドレスをチェックします。 接続が正常に完了すると、Anserver はプレーンテキストの XML でその C&C サーバー データベースを更新するためのコマンドを受信します。 最終的に、Anserver は機密性が高いと考えられるデバイス情報(OS バージョン、IMEI 番号、デバイスの製造元、およびデバイス モデル)をそのデベロッパーに送信できるようになります。

A.AnserverBot.3

名前 A.AnserverBot.3
カテゴリー
リリース日付 2011/12/21
更新番号 43

Anserver は、Android デバイスを標的とする一連の悪意のあるアプリケーションです。 アプリケーションが Anserver に感染すると、マルウェアのデベロッパーが制御するリモート サーバーに接続する機能が組み込まれます。ユーザーの同意なしに他の悪意のあるペイロードをデバイスにダウンロードしてインストールすることが目的です。 また、モバイル セキュリティー アプリケーションを特定して強制終了しようとすることがわかっています。 また、Anserver は、ユーザーをだましてインストールさせるために、トロイの木馬化された正規のホスト アプリケーションにパッケージ化されます。 インストールが完了すると、Anserver に感染したアプリケーションは、ユーザーをだまして元のホストの偽の「アップグレード」に同意させることで、悪意のあるペイロードを「タッチ スクリーン」としてデバイスにインストールします。 インストールされた Anserver はさまざまな方法でトリガーされます。 たとえば、接続の変更、電源の接続、USB 大容量ストレージの接続または取り外し、SMS メッセージの受信、入力方法の変更、起動の完了、デバイスのロック解除などです。マルウェアの起動が成功すると、Anserver は Phone Home によって新しいコマンド&コントロール(C&C)サーバーのアドレスをチェックします。 接続が正常に完了すると、Anserver はプレーンテキストの XML でその C&C サーバー データベースを更新するためのコマンドを受信します。 最終的に、Anserver は機密性が高いと考えられるデバイス情報(OS バージョン、IMEI 番号、デバイスの製造元、およびデバイス モデル)をそのデベロッパーに送信できるようになります。

A.BaseBridge.b

名前 A.BaseBridge.b
カテゴリー
リリース日付 2011/09/07
更新番号 7

BaseBridge は、Android ユーザーに対して正規のアプリケーションに見せかけるように設計された、違法コピーされ、トロイの木馬化された一連のホスト アプリケーションに含めて配布されます。 BaseBridge に感染したアプリケーションは、Android 2.2 以前のデバイスの「udev」(BID 34536)脆弱性を利用して、感染したデバイスの root 権限を取得しようとします。 root 権限が取得できると、BaseBridge に感染したアプリケーションは、アプリケーション パッケージの「/res/raw/anservb」に格納されているペイロード(SMSApp.apk)をドロップします。 インストールが正常に完了すると、「SMSApp.apk」はポート 8080 のリモート サーバーに接続します。デバイス識別情報を送信することが目的です。 これには、「加入者 ID」、「製造元とモデル」、および「Android バージョン」などが該当します。 次に、BaseBridge に感染したアプリケーションは、一連の SMS メッセージをプレミアム料金がかかる SMS 番号に送信するように構成されます。これにより、メッセージ単位でユーザーのモバイル アカウントに課金されます。 このように課金された金額は、ほとんどの場合回収不能です。 BaseBridge は、このほか、プレミアム料金がかかる SMS メッセージを送信したことをユーザーが気付かないように、モバイル デバイスの受信箱から SMS メッセージを削除したり、発信者の同意なしに電話をかけたりすることもできます。

A.BaseBridge.f

名前 A.BaseBridge.f
カテゴリー
リリース日付 2011/09/07
更新番号 7

BaseBridge は、Android ユーザーに対して正規のアプリケーションに見せかけるように設計された、違法コピーされ、トロイの木馬化された一連のホスト アプリケーションに含めて配布されます。 BaseBridge に感染したアプリケーションは、Android 2.2 以前のデバイスの「udev」(BID 34536)脆弱性を利用して、感染したデバイスの root 権限を取得しようとします。 root 権限が取得できると、BaseBridge に感染したアプリケーションは、アプリケーション パッケージの「/res/raw/anservb」に格納されているペイロード(SMSApp.apk)をドロップします。 インストールが正常に完了すると、「SMSApp.apk」はポート 8080 のリモート サーバーに接続します。デバイス識別情報を送信することが目的です。 これには、「加入者 ID」、「製造元とモデル」、および「Android バージョン」などが該当します。 次に、BaseBridge に感染したアプリケーションは、一連の SMS メッセージをプレミアム料金がかかる SMS 番号に送信するように構成されます。これにより、メッセージ単位でユーザーのモバイル アカウントに課金されます。 このように課金された金額は、ほとんどの場合回収不能です。 BaseBridge は、このほか、プレミアム料金がかかる SMS メッセージを送信したことをユーザーが気付かないように、モバイル デバイスの受信箱から SMS メッセージを削除したり、発信者の同意なしに電話をかけたりすることもできます。

A.Basebrid.1

名前 A.Basebrid.1
カテゴリー
リリース日付 2011/12/21
更新番号 43

BaseBridge は、Android ユーザーに対して正規のアプリケーションに見せかけるように設計された、違法コピーされ、トロイの木馬化された一連のホスト アプリケーションに含めて配布されます。 BaseBridge に感染したアプリケーションは、Android 2.2 以前のデバイスの「udev」(BID 34536)脆弱性を利用して、感染したデバイスの root 権限を取得しようとします。 root 権限が取得できると、BaseBridge に感染したアプリケーションは、アプリケーション パッケージの「/res/raw/anservb」に格納されているペイロード(SMSApp.apk)をドロップします。 インストールが正常に完了すると、「SMSApp.apk」はポート 8080 のリモート サーバーに接続します。デバイス識別情報を送信することが目的です。 これには、「加入者 ID」、「製造元とモデル」、および「Android バージョン」などが該当します。 次に、BaseBridge に感染したアプリケーションは、一連の SMS メッセージをプレミアム料金がかかる SMS 番号に送信するように構成されます。これにより、メッセージ単位でユーザーのモバイル アカウントに課金されます。 このように課金された金額は、ほとんどの場合回収不能です。 BaseBridge は、このほか、プレミアム料金がかかる SMS メッセージを送信したことをユーザーが気付かないように、モバイル デバイスの受信箱から SMS メッセージを削除したり、発信者の同意なしに電話をかけたりすることもできます。

A.BlitzF.a

名前 A.BlitzF.a
カテゴリー
リリース日付 2010/08/16
更新番号 1

「com.blitzforce.massada」は、中国電子科技大学の Blitz Force Massada グループを送信元とする概念実証(POC)マルウェアであるかのように見せかけたパッケージ名で、Android デバイスを標的としています。 com.blitzforce.massada は POC であり、マルウェアとなる可能性を示しているのみで、損害を与えるために作成されたものではないと考えられます。 com.blitzforce.massada は、複数の攻撃を利用し、次の機能を備えていることがわかっています。 - ユーザーの介入なく受信コールを受け入れる - ユーザーの介入なく電話を終了する - デバイスの無線を遮断して受信/送信コールを発生させない - 機密性が高いデバイス情報を収集してリモート サーバーに送信する

A.DDLight.a

名前 A.DDLight.a
カテゴリー
リリース日付 2011/09/07
更新番号 7

DroidDream Light は、その前身である DroidDream の変種で、正規の Android Market を攻撃します。 DroidDream Light は、その前身と同じく、違法コピーされ、トロイの木馬化された Android アプリケーションに含まれています。 分析により、これらの、違法コピーされ、トロイの木馬化されたアプリケーションが持つ悪質性は、受信コールに応答するとアクティブになることが明らかになっています。 DroidDream Light は起動すると、IMEI 番号、電話番号、デバイス モデル、Android バージョンの各情報を収集してリモート サーバーに送信しようとします。 DroidDream Light マルウェアに感染したアプリケーションは、これ以外に、リモート サーバーから新たなパッケージをダウンロードしてインストールする機能も備えています。 その前身とは異なり、DroidDream、DroidDream Light は、こうした新たなアプリケーションをバックグラウンドでインストールする機能は備えていません。ユーザーはインストールを実行するように求められます。

A.DrdDream.a

名前 A.DrdDream.a
カテゴリー
リリース日付 2011/03/09
更新番号 1

DroidDream は、Android Market で初めて確認された Android を標的とする複雑なトロイの木馬でした。 DroidDream は、違法コピーされ、トロイの木馬化された一連のアプリケーションに含めて配布され、マルウェアのデベロッパーは悪意のあるコードを正規のアプリケーションに埋め込み、正規のアプリケーションとともにリリースしました。 DroidDream は、感染したデバイスの root 権限を取得するために、rageagainstthecage という root エクスプロイトを利用します。 root 権限が取得されると、ユーザーが知らないうちに、バックグラウンドで通知なくパッケージがインストールされ、その中にある新たなペイロードが DroidDream に感染したアプリケーションに含まれるようになります。 この新たなパッケージにより、トロイの木馬はデバイスをキャプチャして、 製品 ID、モデル、サービス プロバイダ、デバイス言語、およびデバイスに構成されたユーザー ID を取得できます。この情報は、その後、リモート サーバーに送信されます。DroidDream はさらに、トロイの木馬がバックグラウンドで自在に新たなアプリケーションをダウンロードしてインストールできるようにする機能を組み込みます。 この機能により、ユーザーに認識されることなく、マルウェアの機能がさらに拡張される可能性があります。

A.DroidDream

名前 A.DroidDream
カテゴリー
リリース日付 2012/01/27
更新番号 47

DroidDream は、Android Market で初めて確認された Android を標的とする複雑なトロイの木馬でした。 DroidDream は、違法コピーされ、トロイの木馬化された一連のアプリケーションに含めて配布され、マルウェアのデベロッパーは悪意のあるコードを正規のアプリケーションに埋め込み、正規のアプリケーションとともにリリースしました。 DroidDream は、感染したデバイスの root 権限を取得するために、rageagainstthecage という root エクスプロイトを利用します。 root 権限が取得されると、ユーザーが知らないうちに、バックグラウンドで通知なくパッケージがインストールされ、その中にある新たなペイロードが DroidDream に感染したアプリケーションに含まれるようになります。 この新たなパッケージにより、トロイの木馬はデバイスをキャプチャして、 製品 ID、モデル、サービス プロバイダ、デバイス言語、およびデバイスに構成されたユーザー ID を取得できます。この情報は、その後、リモート サーバーに送信されます。DroidDream はさらに、トロイの木馬がバックグラウンドで自在に新たなアプリケーションをダウンロードしてインストールできるようにする機能を組み込みます。 この機能により、ユーザーに認識されることなく、マルウェアの機能がさらに拡張される可能性があります。

A.DroidDream.2

名前 A.DroidDream.2
カテゴリー
リリース日付 2012/01/27
更新番号 47

DroidDream は、Android Market で初めて確認された Android を標的とする複雑なトロイの木馬でした。 DroidDream は、違法コピーされ、トロイの木馬化された一連のアプリケーションに含めて配布され、マルウェアのデベロッパーは悪意のあるコードを正規のアプリケーションに埋め込み、正規のアプリケーションとともにリリースしました。 DroidDream は、感染したデバイスの root 権限を取得するために、rageagainstthecage という root エクスプロイトを利用します。 root 権限が取得されると、ユーザーが知らないうちに、バックグラウンドで通知なくパッケージがインストールされ、その中にある新たなペイロードが DroidDream に感染したアプリケーションに含まれるようになります。 この新たなパッケージにより、トロイの木馬はデバイスをキャプチャして、 製品 ID、モデル、サービス プロバイダ、デバイス言語、およびデバイスに構成されたユーザー ID を取得できます。この情報は、その後、リモート サーバーに送信されます。DroidDream はさらに、トロイの木馬がバックグラウンドで自在に新たなアプリケーションをダウンロードしてインストールできるようにする機能を組み込みます。 この機能により、ユーザーに認識されることなく、マルウェアの機能がさらに拡張される可能性があります。

A.DroidDream.3

名前 A.DroidDream.3
カテゴリー
リリース日付 2012/01/27
更新番号 47

DroidDream は、Android Market で初めて確認された Android を標的とする複雑なトロイの木馬でした。 DroidDream は、違法コピーされ、トロイの木馬化された一連のアプリケーションに含めて配布され、マルウェアのデベロッパーは悪意のあるコードを正規のアプリケーションに埋め込み、正規のアプリケーションとともにリリースしました。 DroidDream は、感染したデバイスの root 権限を取得するために、rageagainstthecage という root エクスプロイトを利用します。 root 権限が取得されると、ユーザーが知らないうちに、バックグラウンドで通知なくパッケージがインストールされ、その中にある新たなペイロードが DroidDream に感染したアプリケーションに含まれるようになります。 この新たなパッケージにより、トロイの木馬はデバイスをキャプチャして、 製品 ID、モデル、サービス プロバイダ、デバイス言語、およびデバイスに構成されたユーザー ID を取得できます。この情報は、その後、リモート サーバーに送信されます。DroidDream はさらに、トロイの木馬がバックグラウンドで自在に新たなアプリケーションをダウンロードしてインストールできるようにする機能を組み込みます。 この機能により、ユーザーに認識されることなく、マルウェアの機能がさらに拡張される可能性があります。

A.DroidDream.n

名前 A.DroidDream.n
カテゴリー
リリース日付 2012/01/27
更新番号 47

DroidDream は、Android Market で初めて確認された Android を標的とする複雑なトロイの木馬でした。 DroidDream は、違法コピーされ、トロイの木馬化された一連のアプリケーションに含めて配布され、マルウェアのデベロッパーは悪意のあるコードを正規のアプリケーションに埋め込み、正規のアプリケーションとともにリリースしました。 DroidDream は、感染したデバイスの root 権限を取得するために、rageagainstthecage という root エクスプロイトを利用します。 root 権限が取得されると、ユーザーが知らないうちに、バックグラウンドで通知なくパッケージがインストールされ、その中にある新たなペイロードが DroidDream に感染したアプリケーションに含まれるようになります。 この新たなパッケージにより、トロイの木馬はデバイスをキャプチャして、 製品 ID、モデル、サービス プロバイダ、デバイス言語、およびデバイスに構成されたユーザー ID を取得できます。この情報は、その後、リモート サーバーに送信されます。DroidDream はさらに、トロイの木馬がバックグラウンドで自在に新たなアプリケーションをダウンロードしてインストールできるようにする機能を組み込みます。 この機能により、ユーザーに認識されることなく、マルウェアの機能がさらに拡張される可能性があります。

A.EicarAndr

名前 A.EicarAndr
カテゴリー
リリース日付 2011/11/01
更新番号 37

EICAR ウィルス対策テスト アプリケーション。このアプリケーションは有害ではありません。 デバイスに損害を与えることはまったくありません。 このアプリケーションは、単にこのようなメッセージを表示するだけで、それ以上何もしません。 インストールする際に権限は必要ありません。 データを読み込んだり、インターネットにアクセスしたり、ファイルを作成したりすることはありません。 バックグラウンドで動作したり、自動的に起動したり、メッセージを表示する以外に何かを実行したりすることもありません。 ただし、European Institute for Computer Antivirus Research(EICAR)によって作成されたテキストが含まれています。すべてのウィルス対策製品でウィルスとして安全に検出されるように設計されたテキストで、現実のウィルスやその他のマルウェアにデバイスを実際に感染させることなく、ウィルス対策アプリケーションが正しく動作しているかどうかをテストできます。 このアプリケーションは完全に無害ですが、ウィルスとして検出されるようになっています。 このことがこのアプリケーションの目的です。 電話でウィルス対策アプリケーションが動作している場合に、このアプリケーションをインストールすると、ウィルスとして検出されます。 詳細については、Wikipedia で「EICAR テスト ファイル」を検索するか、または eicar.org の EICAR の Web サイトにアクセスしてください。

A.FakePlayer.gen

名前 A.FakePlayer.gen
カテゴリー
リリース日付 2010/09/14
更新番号 1

Fake Player は、Android デバイスに感染することがわかった最初の SMS トロイの木馬アプリケーションです。 このアプリケーションは、「ru.apk」という名前の APK(Android パッケージ)という形式でハンドセットに配布され、デバイスのアプリケーション リストに「org.me.androidapplication1」として存在し、アプリケーション ドロワーに「Movie Player」と表示されます。 分析により、Fake Player はかなり初歩的なものであることが明らかになっています。デベロッパーが簡単な「Hello, World」アプリケーションを作成し、SMS_SEND 権限を要求することで非常に基本的な SMS 機能を含めるようにそのコードを変更しているためです。 SMS トロイの木馬としてインストールが完了すると、Fake Player はメッセージ本体に「798657」と記載した SMS メッセージをプレミアム料金がかかる SMS 番号「3353」に送信します。これにより、送信されたメッセージ単位でユーザーのモバイル アカウントに課金されます。 そのメッセージの送信が完了すると、このトロイの木馬は同じメッセージをショート コード「3354」に送信し、さらに 3 つ目のメッセージを「3353」に送信します。 分析により、Fake Player はサードパーティーのチャネルを介してのみ配布され、ローカルの Android Market に存在したことはなかったことが明らかになっています。 また、構成されたショート コードがロシア国内のネットワークに存在するため、ロシアのキャリア ネットワークの外では正しく機能せず、ロシア国外のキャリア ネットワークから到達することはできないと考えられています。 さらに、Fake Player は自己増殖できません。インストールするには、デバイスのユーザーが必要なアクションを開始すること、および要求されている権限をユーザーが承認することが必要となります。

A.FakeTr.a

名前 A.FakeTr.a
カテゴリー
リリース日付 2011/09/07
更新番号 7

Fake Trusteer は、「銀行の Web サイト」で不要なキーを入力してスマートフォン バンキングを使用するようユーザーに促します。 情報漏洩です。

A.Flexispy.gen

名前 A.Flexispy.gen
カテゴリー
リリース日付 2012/02/22
更新番号 50

FlexiSpy は、ほとんどの主要モバイル プラットフォームに感染する商用スパイウェアです。 通話および SMS メッセージを記録して、リモート サーバーに送信します。 これは、実際にこの目的のために設計されたアプリケーションです。 しかし、目的を明らかにしないで密かに動作するため、トロイの木馬に分類されています。 FlexiSpy は複数の異なるパッケージに組み込まれ、サポートされる機能セットは増加しています。 機能セットは、 リモート リスニング、SMS による電話制御、SMS および電子メールのロギング、通話履歴のロギング、位置追跡、通話傍受、GPS 追跡、遮蔽、ブラック リスト、ホワイト リスト、Web サポート、セキュアなログイン、ビュー レポート、詳細検索、ダウンロード レポート、特殊機能、SIM 変更通知、必須の GPRS 機能、記録した会話のリスニングです。

A.Foncy.a

名前 A.Foncy.a
カテゴリー
リリース日付 2012/01/27
更新番号 47

Foncy は、正規のアプリケーションに再パッケージ化された SMS トロイの木馬アプリケーションです。 特別な方法を使用してデバイスの国コードを取得し、プレミアム料金がかかる SMS メッセージをその国の特定の番号に送信します。 現時点では、欧州諸国とそのユーザーに影響を与えることだけがわかっています。

A.GGTracker

名前 A.GGTracker
カテゴリー
リリース日付 2011/09/07
更新番号 7

GGTracker は、Android デバイスを対象としたトロイの木馬で、SMS メッセージをプレミアム料金がかかる番号に送信し、機密性が高いデバイス情報を収集します。 このトロイの木馬は、実行されると、感染したデバイスの電話番号を送信して、制御下にあるサーバーが SMS メッセージをそのデバイスに送信できるようにします。 次に、受け取った SMS メッセージを監視し、SMS メッセージを傍受します。 傍受の対象となる番号は、00033335、00036397、33335、36397、46621、55991、55999、56255、96512、99735 です。また、41001 から SMS メッセージに YES と応答します。 このトロイの木馬は、情報を収集する可能性があります。 デバイスの電話番号、ネットワーク通信事業者の名前、傍受した SMS メッセージの送信者および本文、受信箱にある SMS メッセージの送信者および本文、Android オペレーティング システムのバージョンなどです。収集された情報は、その後、http://www.amaz0n-cloud.com/droid/droid.php に送信されます。

A.GGTracker.b

名前 A.GGTracker.b
カテゴリー
リリース日付 2011/09/07
更新番号 7

GGTracker は、Android デバイスを対象としたトロイの木馬で、SMS メッセージをプレミアム料金がかかる番号に送信し、機密性が高いデバイス情報を収集します。 このトロイの木馬は、実行されると、感染したデバイスの電話番号を送信して、制御下にあるサーバーが SMS メッセージをそのデバイスに送信できるようにします。 次に、受け取った SMS メッセージを監視し、SMS メッセージを傍受します。 傍受の対象となる番号は、00033335、00036397、33335、36397、46621、55991、55999、56255、96512、99735 です。また、41001 から SMS メッセージに YES と応答します。 このトロイの木馬は、情報を収集する可能性があります。 収集される情報は、デバイスの電話番号、ネットワーク通信事業者の名前、傍受した SMS メッセージの送信者および本文、受信箱にある SMS メッセージの送信者および本文、Android オペレーティング システムのバージョンなどです。収集された情報は、その後、http://www.amaz0n-cloud.com/droid/droid.php に送信されます。

A.Geimini.25

名前 A.Geimini.25
カテゴリー
リリース日付 2011/03/29
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geimini.26

名前 A.Geimini.26
カテゴリー
リリース日付 2011/03/29
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geimini.27

名前 A.Geimini.27
カテゴリー
リリース日付 2011/03/29
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geimini.28

名前 A.Geimini.28
カテゴリー
リリース日付 2011/03/29
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.01

名前 A.Geinimi.01
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.02

名前 A.Geinimi.02
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.03

名前 A.Geinimi.03
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.04

名前 A.Geinimi.04
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.05

名前 A.Geinimi.05
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.06

名前 A.Geinimi.06
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.07

名前 A.Geinimi.07
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.08

名前 A.Geinimi.08
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.09

名前 A.Geinimi.09
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.10

名前 A.Geinimi.10
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.11

名前 A.Geinimi.11
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.12

名前 A.Geinimi.12
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.13

名前 A.Geinimi.13
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.14

名前 A.Geinimi.14
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.16

名前 A.Geinimi.16
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.17

名前 A.Geinimi.17
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.18

名前 A.Geinimi.18
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.19

名前 A.Geinimi.19
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.20

名前 A.Geinimi.20
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.21

名前 A.Geinimi.21
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.22

名前 A.Geinimi.22
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.23

名前 A.Geinimi.23
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.24

名前 A.Geinimi.24
カテゴリー
リリース日付 2011/01/11
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.29

名前 A.Geinimi.29
カテゴリー
リリース日付 2011/09/07
更新番号 7

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.30

名前 A.Geinimi.30
カテゴリー
リリース日付 2011/09/07
更新番号 7

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.31

名前 A.Geinimi.31
カテゴリー
リリース日付 2011/09/07
更新番号 7

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.32

名前 A.Geinimi.32
カテゴリー
リリース日付 2011/09/07
更新番号 7

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.Geinimi.33

名前 A.Geinimi.33
カテゴリー
リリース日付 2011/09/07
更新番号 7

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能には、 SMS メッセージを監視および送信する、選択した SMS メッセージを削除する、位置データを監視および送信する、デバイス識別データ(IMEI/IMSI)を収集および送信する、サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する、感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する、通話を開始する、通知なくファイルをダウンロードする、事前定義した URL でブラウザーを起動する、といったものがあります。これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。 Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。 Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。 ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは、www.widifu.com、www.udaore.com、www.frijd.com、www.piajesj.com、www.qoewsl.com、www.weolir.com、www.uisoa.com、www.riusdu.com、www.aiucr.com、117.135.134.185 です。Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは、com.moonage.iTraining(A.Geinimi.01 として検出)、com.sgg.sp(A.Geinimi.02 として検出)、com.bitlogik.uconnect(A.Geinimi.03 として検出)、com.ubermind.ilightr(A.Geinimi.04 として検出)、com.outfit7.talkinghippo(A.Geinimi.05 として検出)、com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)、com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)、cmp.LocalService(A.Geinimi.09 として検出)、jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)、com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)、cmp.netsentry(A.Geinimi.12 として検出)、com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)、com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)、com.masshabit.squibble.free(A.Geinimi.15 として検出)、signcomsexgirl1.mm(A.Geinimi.16 として検出)、redrabbit.CityDefense(A.Geinimi.17 として検出)、com.gamevil.bs2010(A.Geinimi.18 として検出)、com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)、com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)、sex.sexy(A.Geinimi.21 として検出)、com.swampy.sexpos(A.Geinimi.22 として検出)、com.ericlie.cg5(A.Geinimi.23 として検出)、chaire1.mm(A.Geinimi.24 として検出)です。前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

A.GingerMaster.2

名前 A.GingerMaster.2
カテゴリー
リリース日付 2012/01/27
更新番号 47

GingerMaster は、Android 2.3(Gingerbread)に対して root エクスプロイトを利用した最初の Android マルウェアです。Android 2.2 以前のバージョンに対して root エクスプロイトを利用していたそれまでの Android マルウェアの変種と異なり、デバイスの root 権限を取得して機能を拡張できるようになっています。 GingerMaster は、正規のアプリケーション内に悪意のあるコードを再パッケージ化するというトレンドに追随しています。 このトロイの木馬化されたアプリケーションは、インストールされると、レシーバーを登録します。このレシーバーにより、システムが正常に起動されたことと、デバイス識別情報を収集してリモート サーバーにアップロードするサービスがバックグラウンドで開始されたことが通知されるようになります。 このデバイス情報を収集するだけでなく、GingerMaster に感染したアプリケーションは、GingerBreak という root エクスプロイトを利用してそれ自体の権限を root 権限に引き上げ、さらに、後で使用できるように root シェルをシステム パーティションにインストールすることを試みます。 root 権限を取得した後、GingerMaster はリモートのコマンドコントロール(C&C)サーバーに接続しようとします。ここで、ボット マスターからのインストラクションを待機します。 これで、GingerMaster は、あらかじめインストールしておいた rootシェルで pm install を実行することで、マルウェアの機能を拡張できる新たなアプリケーションを通知なくダウンロードしてインストールできるようになります。

A.GingerMaster.a

名前 A.GingerMaster.a
カテゴリー
リリース日付 2011/08/31
更新番号 5

GingerMaster は、Android 2.3(Gingerbread)に対して root エクスプロイトを利用した最初の Android マルウェアです。Android 2.2 以前のバージョンに対して root エクスプロイトを利用していたそれまでの Android マルウェアの変種と異なり、デバイスの root 権限を取得して機能を拡張できるようになっています。 GingerMaster は、正規のアプリケーション内に悪意のあるコードを再パッケージ化するというトレンドに追随しています。 このトロイの木馬化されたアプリケーションは、インストールされると、レシーバーを登録します。このレシーバーにより、システムが正常に起動されたことと、デバイス識別情報を収集してリモート サーバーにアップロードするサービスがバックグラウンドで開始されたことが通知されるようになります。 このデバイス情報を収集するだけでなく、GingerMaster に感染したアプリケーションは、GingerBreak という root エクスプロイトを利用してそれ自体の権限を root 権限に引き上げ、さらに、後で使用できるように root シェルをシステム パーティションにインストールすることを試みます。 root 権限を取得した後、GingerMaster はリモートのコマンドコントロール(C&C)サーバーに接続しようとします。ここで、ボット マスターからのインストラクションを待機します。 これで、GingerMaster は、あらかじめインストールしておいた rootシェルで pm install を実行することで、マルウェアの機能を拡張できる新たなアプリケーションを通知なくダウンロードしてインストールできるようになります。

A.GoldDream.3

名前 A.GoldDream.3
カテゴリー
リリース日付 2011/09/07
更新番号 7

GoldDream は、「Fast Racing」と呼ばれるアプリケーションで確認された Android マルウェアです。 Fast Racing は、正しく機能するように見えるドラッグ レーシング ゲームですが、背後に悪意のあるコードが隠されています。 Fast Racing は、com.creativemobi.DragRacing というパッケージ名で配布され、動作で必要になる以上の権限を要求します。 注意を怠らなければ、これを悪意のあるアプリケーションとして識別できます。そのためには、次の許可を求められるかどうかに留意します。 そのためには、メッセージ、位置情報、ネットワーク通信、ストレージ、料金がかかるサービス、通話に対する許可を求められるかどうかに留意します。ジュニパーネットワークスでは、GoldDream マルウェアに感染しているアプリケーションをこれまでに 6 個特定しています。 これらのアプリケーションのパッケージ名は、 Pure Girls 16(com.GoldDream.pg03)、Pure Girls 16(com.GoldDream.pg04)、Pure Girls 16(com.GoldDream.pg)、Forrest Defender(com.droid.game.forestman)、DevilDom Ninja(com.droidstu.game.devilninja)、Blood vs Zombie(com.gamelio.DrawSlasher)となっています。GoldDream マルウェアに感染していることがわかっている Android アプリケーションは、感染したモバイル デバイスですべての受信/送信 SMS メッセージおよび通話を監視できます。 このマルウェアは、これらの通信をリッスンし、メッセージや通話に関連付けられた電話番号を取得します。 SMS メッセージの場合、GoldDream マルウェアは、メッセージの内容も取得し、取得したすべてのデータをモバイル ハンドセット上の 2 種類のテキスト ファイル([redacted]phonecall.txt、[redacted]sms.txt)に格納します。これは、取得したデータを制御下にあるサーバーに引き渡すためのコマンドを受信するまで続きます。メッセージやコールの送受信が完了すると、これらのファイルがデバイス上の /data/data/app_name/files フォルダーに作成されます。GoldDream に感染したアプリケーションにもコマンドコントロール(C&C)機能が備えられ、指揮統制サーバーではこれを利用して、構成された一定の機能を実行するようマルウェアに指示します。 マルウェアの分析により、C&C サーバーが感染したデバイスに対し、次の機能を実行するよう指示できることが明らかになっています。 バックグラウンドで SMS メッセージを送信する、バックグラウンドで通話を開始する、すべてのアプリケーションをバックグラウンドでインストール/アンインストールする、ファイルをリモート サーバーにアップロードする、といった機能です。

A.HippoSMS

名前 A.HippoSMS
カテゴリー
リリース日付 2012/01/27
更新番号 47

HippoSMS は、正規アプリケーションのクラック版(プロテクトを外したバージョン)で、アジアのユーザーを標的としています。 インストールが完了すると、HippoSMS はメッセージ本体に 8 と記載した SMS メッセージをプレミアム料金がかかる番号に送信します。 また、受信する SMS メッセージを監視し、10 で始まるメッセージであれば削除します。

A.HippoSMS.a

名前 A.HippoSMS.a
カテゴリー
リリース日付 2011/09/07
更新番号 7

HippoSMS は、正規アプリケーションのクラック版(プロテクトを外したバージョン)に含められ、アジアのユーザーを標的としています。 インストールが完了すると、HippoSMS はメッセージ本体に 8 と記載した SMS メッセージをプレミアム料金がかかる番号に送信します。 また、受信する SMS メッセージを監視し、10 で始まるメッセージであれば削除します。

A.Jifake.gen1

名前 A.Jifake.gen1
カテゴリー
リリース日付 2012/01/27
更新番号 47

Jifake は、プリダウンロードで配布され、インスタント メッセージング アプリケーション JIMM をロシア語に変更します。 このプリダウンロードは、エンドユーザーに対し、本文に「744155jimm」と記載した SMS メッセージを短い番号(2476)に送信して完全版を入手するように求めます。 被害者には、その SMS メッセージの料金が課せられます。 Jifake には変種もあり、SMS を短い番号 1899 に送信します。 この SMS の本文には、 1107[APPLICATION_CODE]1[RANDOM NUMBER].4 と記載されます。

A.Jifake.gen2

名前 A.Jifake.gen2
カテゴリー
リリース日付 2012/01/27
更新番号 47

Jifake は、プリダウンロードで配布され、インスタント メッセージング アプリケーション JIMM をロシア語に変更します。 このプリダウンロードは、エンドユーザーに対し、本文に「744155jimm」と記載した SMS メッセージを短い番号(2476)に送信して完全版を入手するように求めます。 被害者には、その SMS メッセージの料金が課せられます。 Jifake には変種もあり、SMS を短い番号 1899 に送信します。 この SMS の本文には、 1107[APPLICATION_CODE]1[RANDOM NUMBER].4 と記載されます。

A.KMin

名前 A.KMin
カテゴリー
リリース日付 2012/01/27
更新番号 47

KMin は、Android デバイスに感染する悪意のあるアプリケーションです。 このトロイの木馬は、「KMHome」という名前の Android アプリケーションを装う場合があり、デバイスのデバイス ID、加入者 ID、および現在の時刻を収集して、リモート サーバーに送信しようとします。

A.Kidlogger.a

名前 A.Kidlogger.a
カテゴリー
リリース日付 2011/09/07
更新番号 7

KidLogger は、Android デバイスを対象とした非営利のスパイウェアです。 現在も Android Market に存在し、KidLogger に関する Market での説明には、 電話とユーザーの活動をログ ファイルに記録するとあります。 記録されるのは、すべての通話、SMS テキストとその受信者名、Wi-fi 接続、GSM の状態(電波モードや通信事業者名など)、 USB 接続による SD カードの使用状況、使用されているすべてのアプリケーション、アクセスした Web サイト(標準のブラウザーのみ)、 画面上のキーボードで入力したキーストロークとクリップボードのテキスト、 電話の座標情報と撮影された写真などです。 バックグラウンドで密かに動作し、パスワードで保護されています。ユーザーの活動をログ ファイルに 5 日間保管するか、またはユーザーの Kidlogger.net アカウントにアップロードします。 電話の活動記録は、オンラインでいつでも参照できます。 インストール後(電話の再起動後)、*123456# に電話をかけると、KidLogger アプリケーションが開き、アクティブになります。 再起動を避けるには、入力方法として「Soft Keyboard PRO」をインストールします。 詳細については、「Soft Keyboard PRO」アプリケーションを参照してください。 KidLogger は、それ自体の存在をユーザーから隠す機能があるため、スパイウェアに分類されています。 このようなタイプのアプリケーションは、子供がオンラインやモバイルで何をしているかを把握しようとする親に必要なサービスを提供するのは確かですが、許可されていないユーザーに対し、何も知らないでいる人を不正に監視できる機能を提供していることも事実です。

A.KungFu.a

名前 A.KungFu.a
カテゴリー
リリース日付 2011/09/07
更新番号 7

Droid KungFu は、中国語を使用するユーザーをターゲットとする代替市場内で悪意のあるコードが機能するように違法コピーされ、トロイの木馬化された Android マルウェアで、再パッケージ化されたアプリケーションに含めて配布されます。 Droid KungFun は、感染したデバイスへの root アクセス権を通知なく取得するために、udev および rageagainstthecage という root エクスプロイトを利用します。 インストールが完了すると、感染したアプリケーションは、新しいサービスおよび新しいレシーバーをデバイスに登録して、レシーバーにデバイスの再起動完了を通知し、バックグラウンドでサービスを自動的に開始できるようにします。 開始されたサービスは、暗号化された root エクスプロイトのペイロードを復号化し、デバイスに対してエクスプロイトを開始して、root 権限への引き上げを試みます。 root 権限の取得が完了すると、Droid KungFu はデバイス情報を収集してリモート サーバーに送信しようとします。 収集されるデバイス情報は、 IMEI 番号、デバイス モデル、Android バージョンです。デバイスの登録に必要な情報を収集してリモート サーバーに送信したら、Droid KungFu はデバイス上で root 権限を使用して、ユーザーの同意なしにバックグラウンドで新たなパッケージをデバイスにインストールしようとします。 インストールされたアプリケーション「legacy」は、同じアプリケーション アイコンを使用して、正規の Google Search アプリケーションを装います。 legacy は、実際には、リモート サーバーに接続して次に行う操作を指示するコマンドやインストラクションを受信するバックドアであり、感染したデバイスを事実上ボットに変えてしまいます。

A.KungFu2.2

名前 A.KungFu2.2
カテゴリー
リリース日付 2012/01/27
更新番号 47

Droid KungFu2 は Droid KungFu マルウェアの変種です。元のマルウェアは、違法コピーされ、トロイの木馬化された Android アプリケーションにパッケージ化されています。 前身のマルウェアと同じ機能の大半を備え、Dalvik コード(Java ベース)で記述されたそのコードの一部を難読化する試みとして、代わりにネイティブ コードを使用します。 また、新たに 2 つのコマンドコントロール(C&C)ドメインを使用します(前身のマルウェアでは 1 つのみ)。 このように変更を加えることで、既存の検知方法を混乱させ、マルウェアの通信やその他の機能の分析および特定を困難にして、分析により長い時間がかかるようにしています。

A.KungFu2.a

名前 A.KungFu2.a
カテゴリー
リリース日付 2012/01/27
更新番号 47

Droid KungFu2 は Droid KungFu マルウェアの変種です。元のマルウェアは、違法コピーされ、トロイの木馬化された Android アプリケーションにパッケージ化されています。 前身のマルウェアと同じ機能の大半を備え、Dalvik コード(Java ベース)で記述されたそのコードの一部を難読化する試みとして、代わりにネイティブ コードを使用します。 また、新たに 2 つのコマンドコントロール(C&C)ドメインを使用します(前身のマルウェアでは 1 つのみ)。 このように変更を加えることで、既存の検知方法を混乱させ、マルウェアの通信やその他の機能の分析および特定を困難にして、分析により長い時間がかかるようにしています。

A.KungFu3.a

名前 A.KungFu3.a
カテゴリー
リリース日付 2011/08/31
更新番号 5

Droid KungFu3 は、Android デバイスに感染する一連の Droid KungFun マルウェアの 3 つ目の変種です。 Droid KungFu3 は、その前身と同じく、違法コピーされ、トロイの木馬化された Android デバイス向けのアプリケーションに含まれています。 Droid KungFu3 では、真の目的を隠す機能がより高度になっています。 Droid KungFu2 は新たに 2 つのコマンドコントロール(C&C)サーバーを追加し、それらをネイティブ コードでハードコードしていますが、Droid KungFu3 は実際に 3 つすべての C&C サーバー アドレスを暗号化して、マルウェアのリバース エンジニアリングをさらに困難なものにしています。 Droid KungFu3 の主な目的に変わりはなく、微妙な違いがあるだけです。 Droid KungFu3 は、その前身と同じく、感染したデバイスの root 権限を取得するために、2 つの root エクスプロイトのいずれかを利用します。 root 権限の取得が完了すると、偽の Google Update アプリケーションを装う組み込みの APK(Android パッケージ)をインストールしようとします。 この組み込みのアプリケーションが正常にインストールされても、アプリケーション アイコンがユーザーに表示されません。 実際には、こうしてインストールされたアプリケーションはデバイスへのバックドアを開き、インストラクションを出すリモート サーバーに接続して、事実上、デバイスをボットに変えてしまいます。

A.Lovetrap.1

名前 A.Lovetrap.1
カテゴリー
リリース日付 2012/01/27
更新番号 47

LoveTrap は、プレミアム料金がかかる番号に SMS メッセージを送信する Android トロイの木馬です。 インストールが完了すると、LoveTrap はリモート サーバーからプレミアム料金がかかる番号を取得して、モバイル ユーザーのアカウントに課金されるよう SMS メッセージを送信します。 次に、このトロイの木馬は、活動を隠すために、プレミアム料金がかかるすべての番号からの、確認 SMS メッセージのブロックを試みます。

A.Lovetrap.2

名前 A.Lovetrap.2
カテゴリー
リリース日付 2012/01/27
更新番号 47

LoveTrap は、プレミアム料金がかかる番号に SMS メッセージを送信する Android トロイの木馬です。 インストールが完了すると、LoveTrap はリモート サーバーからプレミアム料金がかかる番号を取得して、モバイル ユーザーのアカウントに課金されるよう SMS メッセージを送信します。 次に、このトロイの木馬は、活動を隠すために、プレミアム料金がかかるすべての番号からの、確認 SMS メッセージのブロックを試みます。

A.Lovetrap.3

名前 A.Lovetrap.3
カテゴリー
リリース日付 2012/01/27
更新番号 47

LoveTrap は、プレミアム料金がかかる番号に SMS メッセージを送信する Android トロイの木馬です。 インストールが完了すると、LoveTrap はリモート サーバーからプレミアム料金がかかる番号を取得して、モバイル ユーザーのアカウントに課金されるよう SMS メッセージを送信します。 次に、このトロイの木馬は、活動を隠すために、プレミアム料金がかかるすべての番号からの、確認 SMS メッセージのブロックを試みます。

A.MNauten.gen

名前 A.MNauten.gen
カテゴリー
リリース日付 2010/10/05
更新番号 1

Mobinauten SMS Spy は、Android Market に存在し、紛失したデバイスまたは盗難されたデバイスを見つけるのに役立つアプリケーションであると説明されています。 SMS Spy は、その存在をユーザーから隠し、デバイスのアプリケーション ドロワーにアプリケーション アイコンを挿入しないため、スパイウェアに分類されています。 SMS Spy は、「de.mobinauten.smsspy」というパッケージ名の「SMS Spy」というアプリケーション名で配布されます。 SMS Spy を使用して攻撃する場合、「How are you???」というメッセージを事前に構成した SMS メッセージをデバイスに送信する必要があります。そのメッセージを受信したデバイスは、3 つの SMS メッセージで送信者に応答します。 1 つ目のメッセージでは、この位置特定メッセージを受信したことを伝えます。 2 つ目のメッセージでは、デバイスの GPS 座標情報およびアドレスを返します。 3 つ目のメッセージでは、デバイスの位置を示す Google Map にリンクした URL を返します。 SMS Spy は、受信した「位置特定」SMS メッセージを非表示にするかどうかのオプションをユーザーに提示します。 この場合、ターゲット デバイス上で、surname は「systemnumber」、残りの情報は空白にして、個別の連絡先を作成する必要があります。 ターゲット デバイス上にこの「systemnumber」連絡先を作成することで、SMS Spy は正しく作成された位置特定メッセージを削除し、システム通知に送信されるメッセージを「Internal Service – SMS Database optimized and compressed」(内部サービス - SMS データベースは最適化され、圧縮されました)に変更します。SMS Spy は、適切に使用すれば、有用なアプリケーションであることに間違いありません。 ただし、その存在をユーザーから隠す機能があり、受信した位置特定メッセージを攻撃者が排除できるため、Android スパイウェアに分類されています。これにより、このアプリケーションをデバイスに残すかどうかを、ユーザーが十分な情報に基づいて判断できるようにしています。

A.NickiSpy.a

名前 A.NickiSpy.a
カテゴリー
リリース日付 2011/08/31
更新番号 5

NickySpy は、Android デバイスに感染する悪意のあるプログラムです。 NickySpy は、「Android System Manager」という名前のアプリケーションとして配布されますが、実際にはデバイスに関する情報を収集してリモート サーバーに送信するのみです。 NickySpy が取得できる情報は、 音声コール、SMS メッセージ、GPS 位置情報、International Mobile Equipment Identity、IP アドレスです。このマルウェアは、音声コール データを SD カードの「/sdcard/shangzhou/callrecord」というフォルダーに格納します。さらに、タイマー イベントを作成して、データ収集を開始し、その詳細をリモート サーバーにアップロードします。

A.NickiSpy.b

名前 A.NickiSpy.b
カテゴリー
リリース日付 2011/08/31
更新番号 5

NickySpy は、Android デバイスに感染する悪意のあるプログラムです。 NickySpy は、「Android System Manager」という名前のアプリケーションとして配布されますが、実際にはデバイスに関する情報を収集してリモート サーバーに送信するのみです。 NickySpy が取得できる情報は、 音声コール、SMS メッセージ、GPS 位置情報、International Mobile Equipment Identity、IP アドレスです。このマルウェアは、音声コール データを SD カードの「/sdcard/shangzhou/callrecord」というフォルダーに格納します。さらに、タイマー イベントを作成して、データ収集を開始し、その詳細をリモート サーバーにアップロードします。

A.PJApp.1

名前 A.PJApp.1
カテゴリー
リリース日付 2011/03/09
更新番号 1

PJApps が含まれているのは、一般的に、正規の Android Market から違法コピーされ、分解された後、悪意のあるコードが埋め込まれた Android アプリケーションです。これらのアプリケーションは、中国のサードパーティーのアプリケーション ストアで正規のアプリケーションとして配布されています。 このトロイの木馬は、実行されると、次のアクションを実行するための権限を要求します。 ネットワーク ソケットを開く、受信した SMS メッセージを送信および監視する、ユーザーの閲覧履歴およびブックマークを読み書きする、パッケージをインストールする、外部ストレージに書き込む、電話の状態(圏外や電源オフなど)を読み取る、といったアクションです。次に、バックグラウンドで実行されるサービスを作成します。 これは危険なランチャーであり、デバイスの受信信号が変わるたびにトリガーされます。 サービスが開始すると、http://mobile.meego91.com/mm.do?..[PARAMETERS] の URL を使用して自己登録を試みます。 注:[PARAMETERS] は、デバイスから取得された情報が入る変数です。具体的には、IMEI、デバイス ID、回線番号、加入者 ID、SIM シリアル番号です。このランチャーは、感染したデバイスの IMEI 番号を使用して、攻撃者が制御する携帯電話の番号にメッセージを送信できます。 このメッセージが送信される携帯電話の番号は、http://log.meego91.com:9033/android.log?[PARAMETERS] の URL から取得されます。また、http://xml.meego91.com:8118/push/newandroidxml/… からコマンドをダウンロードします。コマンドは、.xml ファイル内に記載され、次に挙げるようなコマンドが含まれています。 注:このコマンドの使用目的として最も可能性が高いのは、プレミアム料金がかかる番号にテキスト メッセージを送信することです。 携帯電話の番号およびコンテンツを指定する必要があり、新たに 2 つのアクションを実行できます。1 つ目のアクションはブラックリスト登録です。指定した場合、携帯電話の番号がリモート サーバーに送信され、その番号がブラックリストに登録されているかどうかチェックされます。登録されている場合、メッセージは送信されません。 サービスの URL をパラメーターとしてコマンドに送信する必要があります。($blacklist_url) + "/?tel=" + 携帯電話の番号という形式で要求を発行すると、ブラックリストのチェックが実行されます。 もう 1 つのアクションはレスポンスのブロックです。Android.Pjapps には、受信するメッセージをリッスンする機能もあります。このため、note コマンドを使用して、特定の条件が満たされた場合にインバウンド メッセージをドロップするためのルールを指定し、ユーザーがメッセージを読まないようにすることができます。 メッセージ開始および終了の文字は、サポートされているフィルターに含まれています。push:このコマンドは、SMS スパミングを実行します。パラメーターとして、 テキスト メッセージの内容、メッセージ内容の最後に追加する URL、テキストの送信先となる携帯電話の番号(# で区切ります)を指定する必要があります。soft:このコマンドは、感染したデバイスへのパッケージのインストールに使用されます。 パッケージは、パラメーターとしてコマンドとともに送信する必要があるリモートの URL からダウンロードされます。window:このコマンドは、モバイルを特定の Web サイトにナビゲートさせます。 Android.Pjapps は、使用に適したブラウザーがあり、次に挙げるブラウザーの存在を確認します。com.uc.browser、com.tencent.mtt、com.opera.mini.android、mobi.mgeek.TunnyBrowser、com.skyfire.browser、com.kolbysoft.steel、com.android.browser、android.paojiao.cn、ct2.paojiao.cn、g3g3.cn です。mark:このコマンドは、感染したデバイスにブックマークを追加するために使用されます。 サービスが初めて開始された場合、Android.Pjapps はデフォルトで次のブックマークをデバイスに追加します。xbox:このコマンドは、Android.Pjapps 解析コードで見つかりましたが、実装されていないようです。

A.PJApp.2

名前 A.PJApp.2
カテゴリー
リリース日付 2011/03/09
更新番号 1

PJApps が含まれているのは、一般的に、正規の Android Market から違法コピーされ、分解された後、悪意のあるコードが埋め込まれた Android アプリケーションです。これらのアプリケーションは、中国のサードパーティーのアプリケーション ストアで正規のアプリケーションとして配布されています。 このトロイの木馬は、実行されると、次のアクションを実行するための権限を要求します。 ネットワーク ソケットを開く、受信した SMS メッセージを送信および監視する、ユーザーの閲覧履歴およびブックマークを読み書きする、パッケージをインストールする、外部ストレージに書き込む、電話の状態(圏外や電源オフなど)を読み取る、といったアクションです。次に、バックグラウンドで実行されるサービスを作成します。 これは危険なランチャーであり、デバイスの受信信号が変わるたびにトリガーされます。 サービスが開始すると、http://mobile.meego91.com/mm.do?..[PARAMETERS] の URL を使用して自己登録を試みます。 注:[PARAMETERS] は、デバイスから取得された情報が入る変数です。具体的には、IMEI、デバイス ID、回線番号、加入者 ID、SIM シリアル番号です。このランチャーは、感染したデバイスの IMEI 番号を使用して、攻撃者が制御する携帯電話の番号にメッセージを送信できます。 このメッセージが送信される携帯電話の番号は、http://log.meego91.com:9033/android.log?[PARAMETERS] の URL から取得されます。また、http://xml.meego91.com:8118/push/newandroidxml/… からコマンドをダウンロードします。コマンドは、.xml ファイル内に記載され、次に挙げるようなコマンドが含まれています。 注:このコマンドの使用目的として最も可能性が高いのは、プレミアム料金がかかる番号にテキスト メッセージを送信することです。 携帯電話の番号およびコンテンツを指定する必要があり、新たに 2 つのアクションを実行できます。1 つ目のアクションはブラックリスト登録です。指定した場合、携帯電話の番号がリモート サーバーに送信され、その番号がブラックリストに登録されているかどうかチェックされます。登録されている場合、メッセージは送信されません。 サービスの URL をパラメーターとしてコマンドに送信する必要があります。($blacklist_url) + "/?tel=" + 携帯電話の番号という形式で要求を発行すると、ブラックリストのチェックが実行されます。 もう 1 つのアクションはレスポンスのブロックです。Android.Pjapps には、受信するメッセージをリッスンする機能もあります。このため、note コマンドを使用して、特定の条件が満たされた場合にインバウンド メッセージをドロップするためのルールを指定し、ユーザーがメッセージを読まないようにすることができます。 メッセージ開始および終了の文字は、サポートされているフィルターに含まれています。push:このコマンドは、SMS スパミングを実行します。パラメーターとして、 テキスト メッセージの内容、メッセージ内容の最後に追加する URL、テキストの送信先となる携帯電話の番号(# で区切ります)を指定する必要があります。soft:このコマンドは、感染したデバイスへのパッケージのインストールに使用されます。 パッケージは、パラメーターとしてコマンドとともに送信する必要があるリモートの URL からダウンロードされます。window:このコマンドは、モバイルを特定の Web サイトにナビゲートさせます。 Android.Pjapps は、使用に適したブラウザーがあり、次に挙げるブラウザーの存在を確認します。com.uc.browser、com.tencent.mtt、com.opera.mini.android、mobi.mgeek.TunnyBrowser、com.skyfire.browser、com.kolbysoft.steel、com.android.browser、android.paojiao.cn、ct2.paojiao.cn、g3g3.cn です。mark:このコマンドは、感染したデバイスにブックマークを追加するために使用されます。 サービスが初めて開始された場合、Android.Pjapps はデフォルトで次のブックマークをデバイスに追加します。xbox:このコマンドは、Android.Pjapps 解析コードで見つかりましたが、実装されていないようです。

A.PJApp.3

名前 A.PJApp.3
カテゴリー
リリース日付 2011/03/09
更新番号 1

PJApps が含まれているのは、一般的に、正規の Android Market から違法コピーされ、分解された後、悪意のあるコードが埋め込まれた Android アプリケーションです。これらのアプリケーションは、中国のサードパーティーのアプリケーション ストアで正規のアプリケーションとして配布されています。 このトロイの木馬は、実行されると、次のアクションを実行するための権限を要求します。 ネットワーク ソケットを開く、受信した SMS メッセージを送信および監視する、ユーザーの閲覧履歴およびブックマークを読み書きする、パッケージをインストールする、外部ストレージに書き込む、電話の状態(圏外や電源オフなど)を読み取る、といったアクションです。次に、バックグラウンドで実行されるサービスを作成します。 これは危険なランチャーであり、デバイスの受信信号が変わるたびにトリガーされます。 サービスが開始すると、http://mobile.meego91.com/mm.do?..[PARAMETERS] の URL を使用して自己登録を試みます。 注:[PARAMETERS] は、デバイスから取得された情報が入る変数です。具体的には、IMEI、デバイス ID、回線番号、加入者 ID、SIM シリアル番号です。このランチャーは、感染したデバイスの IMEI 番号を使用して、攻撃者が制御する携帯電話の番号にメッセージを送信できます。 このメッセージが送信される携帯電話の番号は、http://log.meego91.com:9033/android.log?[PARAMETERS] の URL から取得されます。また、http://xml.meego91.com:8118/push/newandroidxml/… からコマンドをダウンロードします。コマンドは、.xml ファイル内に記載され、次に挙げるようなコマンドが含まれています。 注:このコマンドの使用目的として最も可能性が高いのは、プレミアム料金がかかる番号にテキスト メッセージを送信することです。 携帯電話の番号およびコンテンツを指定する必要があり、新たに 2 つのアクションを実行できます。1 つ目のアクションはブラックリスト登録です。指定した場合、携帯電話の番号がリモート サーバーに送信され、その番号がブラックリストに登録されているかどうかチェックされます。登録されている場合、メッセージは送信されません。 サービスの URL をパラメーターとしてコマンドに送信する必要があります。($blacklist_url) + "/?tel=" + 携帯電話の番号という形式で要求を発行すると、ブラックリストのチェックが実行されます。 もう 1 つのアクションはレスポンスのブロックです。Android.Pjapps には、受信するメッセージをリッスンする機能もあります。このため、note コマンドを使用して、特定の条件が満たされた場合にインバウンド メッセージをドロップするためのルールを指定し、ユーザーがメッセージを読まないようにすることができます。 メッセージ開始および終了の文字は、サポートされているフィルターに含まれています。push:このコマンドは、SMS スパミングを実行します。パラメーターとして、 テキスト メッセージの内容、メッセージ内容の最後に追加する URL、テキストの送信先となる携帯電話の番号(# で区切ります)を指定する必要があります。soft:このコマンドは、感染したデバイスへのパッケージのインストールに使用されます。 パッケージは、パラメーターとしてコマンドとともに送信する必要があるリモートの URL からダウンロードされます。window:このコマンドは、モバイルを特定の Web サイトにナビゲートさせます。 Android.Pjapps は、使用に適したブラウザーがあり、次に挙げるブラウザーの存在を確認します。com.uc.browser、com.tencent.mtt、com.opera.mini.android、mobi.mgeek.TunnyBrowser、com.skyfire.browser、com.kolbysoft.steel、com.android.browser、android.paojiao.cn、ct2.paojiao.cn、g3g3.cn です。mark:このコマンドは、感染したデバイスにブックマークを追加するために使用されます。 サービスが初めて開始された場合、Android.Pjapps はデフォルトで次のブックマークをデバイスに追加します。xbox:このコマンドは、Android.Pjapps 解析コードで見つかりましたが、実装されていないようです。

A.PJApp.4

名前 A.PJApp.4
カテゴリー
リリース日付 2011/03/09
更新番号 1

PJApps が含まれているのは、一般的に、正規の Android Market から違法コピーされ、分解された後、悪意のあるコードが埋め込まれた Android アプリケーションです。これらのアプリケーションは、中国のサードパーティーのアプリケーション ストアで正規のアプリケーションとして配布されています。 このトロイの木馬は、実行されると、次のアクションを実行するための権限を要求します。 ネットワーク ソケットを開く、受信した SMS メッセージを送信および監視する、ユーザーの閲覧履歴およびブックマークを読み書きする、パッケージをインストールする、外部ストレージに書き込む、電話の状態(圏外や電源オフなど)を読み取る、といったアクションです。次に、バックグラウンドで実行されるサービスを作成します。 これは危険なランチャーであり、デバイスの受信信号が変わるたびにトリガーされます。 サービスが開始すると、http://mobile.meego91.com/mm.do?..[PARAMETERS] の URL を使用して自己登録を試みます。 注:[PARAMETERS] は、デバイスから取得された情報が入る変数です。具体的には、IMEI、デバイス ID、回線番号、加入者 ID、SIM シリアル番号です。このランチャーは、感染したデバイスの IMEI 番号を使用して、攻撃者が制御する携帯電話の番号にメッセージを送信できます。 このメッセージが送信される携帯電話の番号は、http://log.meego91.com:9033/android.log?[PARAMETERS] の URL から取得されます。また、http://xml.meego91.com:8118/push/newandroidxml/… からコマンドをダウンロードします。コマンドは、.xml ファイル内に記載され、次に挙げるようなコマンドが含まれています。 注:このコマンドの使用目的として最も可能性が高いのは、プレミアム料金がかかる番号にテキスト メッセージを送信することです。 携帯電話の番号およびコンテンツを指定する必要があり、新たに 2 つのアクションを実行できます。1 つ目のアクションはブラックリスト登録です。指定した場合、携帯電話の番号がリモート サーバーに送信され、その番号がブラックリストに登録されているかどうかチェックされます。登録されている場合、メッセージは送信されません。 サービスの URL をパラメーターとしてコマンドに送信する必要があります。($blacklist_url) + "/?tel=" + 携帯電話の番号という形式で要求を発行すると、ブラックリストのチェックが実行されます。 もう 1 つのアクションはレスポンスのブロックです。Android.Pjapps には、受信するメッセージをリッスンする機能もあります。このため、note コマンドを使用して、特定の条件が満たされた場合にインバウンド メッセージをドロップするためのルールを指定し、ユーザーがメッセージを読まないようにすることができます。 メッセージ開始および終了の文字は、サポートされているフィルターに含まれています。push:このコマンドは、SMS スパミングを実行します。パラメーターとして、 テキスト メッセージの内容、メッセージ内容の最後に追加する URL、テキストの送信先となる携帯電話の番号(# で区切ります)を指定する必要があります。soft:このコマンドは、感染したデバイスへのパッケージのインストールに使用されます。 パッケージは、パラメーターとしてコマンドとともに送信する必要があるリモートの URL からダウンロードされます。window:このコマンドは、モバイルを特定の Web サイトにナビゲートさせます。 Android.Pjapps は、使用に適したブラウザーがあり、次に挙げるブラウザーの存在を確認します。com.uc.browser、com.tencent.mtt、com.opera.mini.android、mobi.mgeek.TunnyBrowser、com.skyfire.browser、com.kolbysoft.steel、com.android.browser、android.paojiao.cn、ct2.paojiao.cn、g3g3.cn です。mark:このコマンドは、感染したデバイスにブックマークを追加するために使用されます。 サービスが初めて開始された場合、Android.Pjapps はデフォルトで次のブックマークをデバイスに追加します。xbox:このコマンドは、Android.Pjapps 解析コードで見つかりましたが、実装されていないようです。

A.PJApp.5

名前 A.PJApp.5
カテゴリー
リリース日付 2011/03/09
更新番号 1

PJApps が含まれているのは、一般的に、正規の Android Market から違法コピーされ、分解された後、悪意のあるコードが埋め込まれた Android アプリケーションです。これらのアプリケーションは、中国のサードパーティーのアプリケーション ストアで正規のアプリケーションとして配布されています。 このトロイの木馬は、実行されると、次のアクションを実行するための権限を要求します。 ネットワーク ソケットを開く、受信した SMS メッセージを送信および監視する、ユーザーの閲覧履歴およびブックマークを読み書きする、パッケージをインストールする、外部ストレージに書き込む、電話の状態(圏外や電源オフなど)を読み取る、といったアクションです。次に、バックグラウンドで実行されるサービスを作成します。 これは危険なランチャーであり、デバイスの受信信号が変わるたびにトリガーされます。 サービスが開始すると、http://mobile.meego91.com/mm.do?..[PARAMETERS] の URL を使用して自己登録を試みます。 注:[PARAMETERS] は、デバイスから取得された情報が入る変数です。具体的には、IMEI、デバイス ID、回線番号、加入者 ID、SIM シリアル番号です。このランチャーは、感染したデバイスの IMEI 番号を使用して、攻撃者が制御する携帯電話の番号にメッセージを送信できます。 このメッセージが送信される携帯電話の番号は、http://log.meego91.com:9033/android.log?[PARAMETERS] の URL から取得されます。また、http://xml.meego91.com:8118/push/newandroidxml/… からコマンドをダウンロードします。コマンドは、.xml ファイル内に記載され、次に挙げるようなコマンドが含まれています。 注:このコマンドの使用目的として最も可能性が高いのは、プレミアム料金がかかる番号にテキスト メッセージを送信することです。 携帯電話の番号およびコンテンツを指定する必要があり、新たに 2 つのアクションを実行できます。1 つ目のアクションはブラックリスト登録です。指定した場合、携帯電話の番号がリモート サーバーに送信され、その番号がブラックリストに登録されているかどうかチェックされます。登録されている場合、メッセージは送信されません。 サービスの URL をパラメーターとしてコマンドに送信する必要があります。($blacklist_url) + "/?tel=" + 携帯電話の番号という形式で要求を発行すると、ブラックリストのチェックが実行されます。 もう 1 つのアクションはレスポンスのブロックです。Android.Pjapps には、受信するメッセージをリッスンする機能もあります。このため、note コマンドを使用して、特定の条件が満たされた場合にインバウンド メッセージをドロップするためのルールを指定し、ユーザーがメッセージを読まないようにすることができます。 メッセージ開始および終了の文字は、サポートされているフィルターに含まれています。push:このコマンドは、SMS スパミングを実行します。パラメーターとして、 テキスト メッセージの内容、メッセージ内容の最後に追加する URL、テキストの送信先となる携帯電話の番号(# で区切ります)を指定する必要があります。soft:このコマンドは、感染したデバイスへのパッケージのインストールに使用されます。 パッケージは、パラメーターとしてコマンドとともに送信する必要があるリモートの URL からダウンロードされます。window:このコマンドは、モバイルを特定の Web サイトにナビゲートさせます。 Android.Pjapps は、使用に適したブラウザーがあり、次に挙げるブラウザーの存在を確認します。com.uc.browser、com.tencent.mtt、com.opera.mini.android、mobi.mgeek.TunnyBrowser、com.skyfire.browser、com.kolbysoft.steel、com.android.browser、android.paojiao.cn、ct2.paojiao.cn、g3g3.cn です。mark:このコマンドは、感染したデバイスにブックマークを追加するために使用されます。 サービスが初めて開始された場合、Android.Pjapps はデフォルトで次のブックマークをデバイスに追加します。xbox:このコマンドは、Android.Pjapps 解析コードで見つかりましたが、実装されていないようです。

A.PJApp.6

名前 A.PJApp.6
カテゴリー
リリース日付 2011/03/09
更新番号 1

PJApps が含まれているのは、一般的に、正規の Android Market から違法コピーされ、分解された後、悪意のあるコードが埋め込まれた Android アプリケーションです。これらのアプリケーションは、中国のサードパーティーのアプリケーション ストアで正規のアプリケーションとして配布されています。 このトロイの木馬は、実行されると、次のアクションを実行するための権限を要求します。 ネットワーク ソケットを開く、受信した SMS メッセージを送信および監視する、ユーザーの閲覧履歴およびブックマークを読み書きする、パッケージをインストールする、外部ストレージに書き込む、電話の状態(圏外や電源オフなど)を読み取る、といったアクションです。次に、バックグラウンドで実行されるサービスを作成します。 これは危険なランチャーであり、デバイスの受信信号が変わるたびにトリガーされます。 サービスが開始すると、http://mobile.meego91.com/mm.do?..[PARAMETERS] の URL を使用して自己登録を試みます。 注:[PARAMETERS] は、デバイスから取得された情報が入る変数です。具体的には、IMEI、デバイス ID、回線番号、加入者 ID、SIM シリアル番号です。このランチャーは、感染したデバイスの IMEI 番号を使用して、攻撃者が制御する携帯電話の番号にメッセージを送信できます。 このメッセージが送信される携帯電話の番号は、http://log.meego91.com:9033/android.log?[PARAMETERS] の URL から取得されます。また、http://xml.meego91.com:8118/push/newandroidxml/… からコマンドをダウンロードします。コマンドは、.xml ファイル内に記載され、次に挙げるようなコマンドが含まれています。 注:このコマンドの使用目的として最も可能性が高いのは、プレミアム料金がかかる番号にテキスト メッセージを送信することです。 携帯電話の番号およびコンテンツを指定する必要があり、新たに 2 つのアクションを実行できます。1 つ目のアクションはブラックリスト登録です。指定した場合、携帯電話の番号がリモート サーバーに送信され、その番号がブラックリストに登録されているかどうかチェックされます。登録されている場合、メッセージは送信されません。 サービスの URL をパラメーターとしてコマンドに送信する必要があります。($blacklist_url) + "/?tel=" + 携帯電話の番号という形式で要求を発行すると、ブラックリストのチェックが実行されます。 もう 1 つのアクションはレスポンスのブロックです。Android.Pjapps には、受信するメッセージをリッスンする機能もあります。このため、note コマンドを使用して、特定の条件が満たされた場合にインバウンド メッセージをドロップするためのルールを指定し、ユーザーがメッセージを読まないようにすることができます。 メッセージ開始および終了の文字は、サポートされているフィルターに含まれています。push:このコマンドは、SMS スパミングを実行します。パラメーターとして、 テキスト メッセージの内容、メッセージ内容の最後に追加する URL、テキストの送信先となる携帯電話の番号(# で区切ります)を指定する必要があります。soft:このコマンドは、感染したデバイスへのパッケージのインストールに使用されます。 パッケージは、パラメーターとしてコマンドとともに送信する必要があるリモートの URL からダウンロードされます。window:このコマンドは、モバイルを特定の Web サイトにナビゲートさせます。 Android.Pjapps は、使用に適したブラウザーがあり、次に挙げるブラウザーの存在を確認します。com.uc.browser、com.tencent.mtt、com.opera.mini.android、mobi.mgeek.TunnyBrowser、com.skyfire.browser、com.kolbysoft.steel、com.android.browser、android.paojiao.cn、ct2.paojiao.cn、g3g3.cn です。mark:このコマンドは、感染したデバイスにブックマークを追加するために使用されます。 サービスが初めて開始された場合、Android.Pjapps はデフォルトで次のブックマークをデバイスに追加します。xbox:このコマンドは、Android.Pjapps 解析コードで見つかりましたが、実装されていないようです。

A.PJApp.7

名前 A.PJApp.7
カテゴリー
リリース日付 2011/03/09
更新番号 1

PJApps が含まれているのは、一般的に、正規の Android Market から違法コピーされ、分解された後、悪意のあるコードが埋め込まれた Android アプリケーションです。これらのアプリケーションは、中国のサードパーティーのアプリケーション ストアで正規のアプリケーションとして配布されています。 このトロイの木馬は、実行されると、次のアクションを実行するための権限を要求します。 ネットワーク ソケットを開く、受信した SMS メッセージを送信および監視する、ユーザーの閲覧履歴およびブックマークを読み書きする、パッケージをインストールする、外部ストレージに書き込む、電話の状態(圏外や電源オフなど)を読み取る、といったアクションです。次に、バックグラウンドで実行されるサービスを作成します。 これは危険なランチャーであり、デバイスの受信信号が変わるたびにトリガーされます。 サービスが開始すると、http://mobile.meego91.com/mm.do?..[PARAMETERS] の URL を使用して自己登録を試みます。 注:[PARAMETERS] は、デバイスから取得された情報が入る変数です。具体的には、IMEI、デバイス ID、回線番号、加入者 ID、SIM シリアル番号です。このランチャーは、感染したデバイスの IMEI 番号を使用して、攻撃者が制御する携帯電話の番号にメッセージを送信できます。 このメッセージが送信される携帯電話の番号は、http://log.meego91.com:9033/android.log?[PARAMETERS] の URL から取得されます。また、http://xml.meego91.com:8118/push/newandroidxml/… からコマンドをダウンロードします。コマンドは、.xml ファイル内に記載され、次に挙げるようなコマンドが含まれています。 注:このコマンドの使用目的として最も可能性が高いのは、プレミアム料金がかかる番号にテキスト メッセージを送信することです。 携帯電話の番号およびコンテンツを指定する必要があり、新たに 2 つのアクションを実行できます。1 つ目のアクションはブラックリスト登録です。指定した場合、携帯電話の番号がリモート サーバーに送信され、その番号がブラックリストに登録されているかどうかチェックされます。登録されている場合、メッセージは送信されません。 サービスの URL をパラメーターとしてコマンドに送信する必要があります。($blacklist_url) + "/?tel=" + 携帯電話の番号という形式で要求を発行すると、ブラックリストのチェックが実行されます。 もう 1 つのアクションはレスポンスのブロックです。Android.Pjapps には、受信するメッセージをリッスンする機能もあります。このため、note コマンドを使用して、特定の条件が満たされた場合にインバウンド メッセージをドロップするためのルールを指定し、ユーザーがメッセージを読まないようにすることができます。 メッセージ開始および終了の文字は、サポートされているフィルターに含まれています。push:このコマンドは、SMS スパミングを実行します。パラメーターとして、 テキスト メッセージの内容、メッセージ内容の最後に追加する URL、テキストの送信先となる携帯電話の番号(# で区切ります)を指定する必要があります。soft:このコマンドは、感染したデバイスへのパッケージのインストールに使用されます。 パッケージは、パラメーターとしてコマンドとともに送信する必要があるリモートの URL からダウンロードされます。window:このコマンドは、モバイルを特定の Web サイトにナビゲートさせます。 Android.Pjapps は、使用に適したブラウザーがあり、次に挙げるブラウザーの存在を確認します。com.uc.browser、com.tencent.mtt、com.opera.mini.android、mobi.mgeek.TunnyBrowser、com.skyfire.browser、com.kolbysoft.steel、com.android.browser、android.paojiao.cn、ct2.paojiao.cn、g3g3.cn です。mark:このコマンドは、感染したデバイスにブックマークを追加するために使用されます。 サービスが初めて開始された場合、Android.Pjapps はデフォルトで次のブックマークをデバイスに追加します。xbox:このコマンドは、Android.Pjapps 解析コードで見つかりましたが、実装されていないようです。

A.PJApp.8

名前 A.PJApp.8
カテゴリー
リリース日付 2011/03/29
更新番号 1

PJApps が含まれているのは、一般的に、正規の Android Market から違法コピーされ、分解された後、悪意のあるコードが埋め込まれた Android アプリケーションです。これらのアプリケーションは、中国のサードパーティーのアプリケーション ストアで正規のアプリケーションとして配布されています。 このトロイの木馬は、実行されると、次のアクションを実行するための権限を要求します。 ネットワーク ソケットを開く、受信した SMS メッセージを送信および監視する、ユーザーの閲覧履歴およびブックマークを読み書きする、パッケージをインストールする、外部ストレージに書き込む、電話の状態(圏外や電源オフなど)を読み取る、といったアクションです。次に、バックグラウンドで実行されるサービスを作成します。 これは危険なランチャーであり、デバイスの受信信号が変わるたびにトリガーされます。 サービスが開始すると、http://mobile.meego91.com/mm.do?..[PARAMETERS] の URL を使用して自己登録を試みます。 注:[PARAMETERS] は、デバイスから取得された情報が入る変数です。具体的には、IMEI、デバイス ID、回線番号、加入者 ID、SIM シリアル番号です。このランチャーは、感染したデバイスの IMEI 番号を使用して、攻撃者が制御する携帯電話の番号にメッセージを送信できます。 このメッセージが送信される携帯電話の番号は、http://log.meego91.com:9033/android.log?[PARAMETERS] の URL から取得されます。また、http://xml.meego91.com:8118/push/newandroidxml/… からコマンドをダウンロードします。コマンドは、.xml ファイル内に記載され、次に挙げるようなコマンドが含まれています。 注:このコマンドの使用目的として最も可能性が高いのは、プレミアム料金がかかる番号にテキスト メッセージを送信することです。 携帯電話の番号およびコンテンツを指定する必要があり、新たに 2 つのアクションを実行できます。1 つ目のアクションはブラックリスト登録です。指定した場合、携帯電話の番号がリモート サーバーに送信され、その番号がブラックリストに登録されているかどうかチェックされます。登録されている場合、メッセージは送信されません。 サービスの URL をパラメーターとしてコマンドに送信する必要があります。($blacklist_url) + "/?tel=" + 携帯電話の番号という形式で要求を発行すると、ブラックリストのチェックが実行されます。 もう 1 つのアクションはレスポンスのブロックです。Android.Pjapps には、受信するメッセージをリッスンする機能もあります。このため、note コマンドを使用して、特定の条件が満たされた場合にインバウンド メッセージをドロップするためのルールを指定し、ユーザーがメッセージを読まないようにすることができます。 メッセージ開始および終了の文字は、サポートされているフィルターに含まれています。push:このコマンドは、SMS スパミングを実行します。パラメーターとして、 テキスト メッセージの内容、メッセージ内容の最後に追加する URL、テキストの送信先となる携帯電話の番号(# で区切ります)を指定する必要があります。soft:このコマンドは、感染したデバイスへのパッケージのインストールに使用されます。 パッケージは、パラメーターとしてコマンドとともに送信する必要があるリモートの URL からダウンロードされます。window:このコマンドは、モバイルを特定の Web サイトにナビゲートさせます。 Android.Pjapps は、使用に適したブラウザーがあり、次に挙げるブラウザーの存在を確認します。com.uc.browser、com.tencent.mtt、com.opera.mini.android、mobi.mgeek.TunnyBrowser、com.skyfire.browser、com.kolbysoft.steel、com.android.browser、android.paojiao.cn、ct2.paojiao.cn、g3g3.cn です。mark:このコマンドは、感染したデバイスにブックマークを追加するために使用されます。 サービスが初めて開始された場合、Android.Pjapps はデフォルトで次のブックマークをデバイスに追加します。xbox:このコマンドは、Android.Pjapps 解析コードで見つかりましたが、実装されていないようです。

A.PJApp.9

名前 A.PJApp.9
カテゴリー
リリース日付 2011/03/29
更新番号 1

PJApps が含まれているのは、一般的に、正規の Android Market から違法コピーされ、分解された後、悪意のあるコードが埋め込まれた Android アプリケーションです。これらのアプリケーションは、中国のサードパーティーのアプリケーション ストアで正規のアプリケーションとして配布されています。 このトロイの木馬は、実行されると、次のアクションを実行するための権限を要求します。 ネットワーク ソケットを開く、受信した SMS メッセージを送信および監視する、ユーザーの閲覧履歴およびブックマークを読み書きする、パッケージをインストールする、外部ストレージに書き込む、電話の状態(圏外や電源オフなど)を読み取る、といったアクションです。次に、バックグラウンドで実行されるサービスを作成します。 これは危険なランチャーであり、デバイスの受信信号が変わるたびにトリガーされます。 サービスが開始すると、http://mobile.meego91.com/mm.do?..[PARAMETERS] の URL を使用して自己登録を試みます。 注:[PARAMETERS] は、デバイスから取得された情報が入る変数です。具体的には、IMEI、デバイス ID、回線番号、加入者 ID、SIM シリアル番号です。このランチャーは、感染したデバイスの IMEI 番号を使用して、攻撃者が制御する携帯電話の番号にメッセージを送信できます。 このメッセージが送信される携帯電話の番号は、http://log.meego91.com:9033/android.log?[PARAMETERS] の URL から取得されます。また、http://xml.meego91.com:8118/push/newandroidxml/… からコマンドをダウンロードします。コマンドは、.xml ファイル内に記載され、次に挙げるようなコマンドが含まれています。 注:このコマンドの使用目的として最も可能性が高いのは、プレミアム料金がかかる番号にテキスト メッセージを送信することです。 携帯電話の番号およびコンテンツを指定する必要があり、新たに 2 つのアクションを実行できます。1 つ目のアクションはブラックリスト登録です。指定した場合、携帯電話の番号がリモート サーバーに送信され、その番号がブラックリストに登録されているかどうかチェックされます。登録されている場合、メッセージは送信されません。 サービスの URL をパラメーターとしてコマンドに送信する必要があります。($blacklist_url) + "/?tel=" + 携帯電話の番号という形式で要求を発行すると、ブラックリストのチェックが実行されます。 もう 1 つのアクションはレスポンスのブロックです。Android.Pjapps には、受信するメッセージをリッスンする機能もあります。このため、note コマンドを使用して、特定の条件が満たされた場合にインバウンド メッセージをドロップするためのルールを指定し、ユーザーがメッセージを読まないようにすることができます。 メッセージ開始および終了の文字は、サポートされているフィルターに含まれています。push:このコマンドは、SMS スパミングを実行します。パラメーターとして、 テキスト メッセージの内容、メッセージ内容の最後に追加する URL、テキストの送信先となる携帯電話の番号(# で区切ります)を指定する必要があります。soft:このコマンドは、感染したデバイスへのパッケージのインストールに使用されます。 パッケージは、パラメーターとしてコマンドとともに送信する必要があるリモートの URL からダウンロードされます。window:このコマンドは、モバイルを特定の Web サイトにナビゲートさせます。 Android.Pjapps は、使用に適したブラウザーがあり、次に挙げるブラウザーの存在を確認します。com.uc.browser、com.tencent.mtt、com.opera.mini.android、mobi.mgeek.TunnyBrowser、com.skyfire.browser、com.kolbysoft.steel、com.android.browser、android.paojiao.cn、ct2.paojiao.cn、g3g3.cn です。mark:このコマンドは、感染したデバイスにブックマークを追加するために使用されます。 サービスが初めて開始された場合、Android.Pjapps はデフォルトで次のブックマークをデバイスに追加します。xbox:このコマンドは、Android.Pjapps 解析コードで見つかりましたが、実装されていないようです。

A.PirateText.a

名前 A.PirateText.a
カテゴリー
リリース日付 2011/03/29
更新番号 1

PirateText は、「Walk and Text」というランキング上位の Android アプリケーションの海賊版です。 「Walk and Text」の正規のデベロッパーが新バージョンを Android Market にリリースしてから数時間のうちに Market から違法コピーされ、悪意のあるコードがパッケージに組み込まれ、サードパーティーのアプリケーション ストアに正規版として再配布されました。 Market から違法コピーされたバージョンはバージョン 1.3.6 です。 Market にある現在のバージョンは 1.5.3 です。 悪意のあるコードが組み込まれているバージョンは、バージョン 1.3.7 です。 バージョン 1.3.7 は、Incorporate Apps からリリースされた正規のアプリケーションの正規の更新ではないと考えられます。 現存するバージョン 1.3.7 は実際には、悪意のあるコードが書き込まれ、その後 Incorporate Apps が使用しているものとは異なる自己署名証明書で署名されたバージョン 1.3.6 のようです。 このことは、他者が、正規のデベロッパーの正規の証明書にアクセスできないため、このアプリケーションを再パッケージ化したことをよく示しています。 悪意のある「Walk and Text v1.3.7」アプリケーションは、ユーザーには正常に機能しているように見えます。 しかし、バックグラウンドでは、デバイスに登録されているすべての連絡先に SMS メッセージを送信します。 その内容は、「Hey,just downlaoded a pirated App off the Internet, Walk and Text for Android. Im stupid and cheap,it costed only 1 buck. Don’t steal like I did!」(インターネットから、Walk and Text という海賊版アプリをたったの 1 ドルでダウンロードしました。こんなマヌケでケチな私の真似をしないでね。)というものです。「Walk and Text v1.3.7」は、デバイスの連絡先に迷惑な SMS メッセージを送信する以外は何も実行しません。 送信される SMS メッセージの性質から、海賊版アプリケーションのダウンロードは倫理に反すると作者が主張していることがわかりますが、作者も、同じく倫理に違反する手段を使用しているのです。

A.Plankton.1

名前 A.Plankton.1
カテゴリー
リリース日付 2011/09/07
更新番号 7

Plankton は、違法コピーされ、トロイの木馬化されたアプリケーションとして配布される Android マルウェアです。 Plankton は、ノースカロライナ州立大学の研究者によって最初に特定されたもので、Plankton に感染したアプリケーションは、Android デバイスで密かに動作できる Dalvik クラスのロード機能を悪用することがわかっています。 感染したアプリケーションがモバイル デバイスにロードされると、このマルウェアはアプリケーションの実行時に自動的に開始するバックグラウンド サービスを追加します。 このバックグラウンド サービスには、感染した Android デバイスから IMEI などの識別情報を収集し、ホスト アプリケーションから要求された権限のリストを集めてリモート サーバーに送信する機能があります。 サーバーは、この情報を受信すると、オンデバイス型のマルウェアにアクセスするための URL を返し、jar ファイルを取得します。jar ファイルは、感染した Android デバイスにそれ自体を自動的にロードし、ボットネットのような機能を有効にします。 ダウンロードした jar ファイルには、このほか、ブラウザーの履歴とブックマークなどの情報を取得し、デバイスの adb ログをダンプし、デバイスに格納されているアカウント認証情報を取得する機能があります。

A.Plankton.2

名前 A.Plankton.2
カテゴリー
リリース日付 2011/09/07
更新番号 7

Plankton は、違法コピーされ、トロイの木馬化されたアプリケーションとして配布される Android マルウェアです。 Plankton は、ノースカロライナ州立大学の研究者によって最初に特定されたもので、Plankton に感染したアプリケーションは、Android デバイスで密かに動作できる Dalvik クラスのロード機能を悪用することがわかっています。 感染したアプリケーションがモバイル デバイスにロードされると、このマルウェアはアプリケーションの実行時に自動的に開始するバックグラウンド サービスを追加します。 このバックグラウンド サービスには、感染した Android デバイスから IMEI などの識別情報を収集し、ホスト アプリケーションから要求された権限のリストを集めてリモート サーバーに送信する機能があります。 サーバーは、この情報を受信すると、オンデバイス型のマルウェアにアクセスするための URL を返し、jar ファイルを取得します。jar ファイルは、感染した Android デバイスにそれ自体を自動的にロードし、ボットネットのような機能を有効にします。 ダウンロードした jar ファイルには、このほか、ブラウザーの履歴とブックマークなどの情報を取得し、デバイスの adb ログをダンプし、デバイスに格納されているアカウント認証情報を取得する機能があります。

A.Plankton.3

名前 A.Plankton.3
カテゴリー
リリース日付 2011/09/07
更新番号 7

Plankton は、違法コピーされ、トロイの木馬化されたアプリケーションとして配布される Android マルウェアです。 Plankton は、ノースカロライナ州立大学の研究者によって最初に特定されたもので、Plankton に感染したアプリケーションは、Android デバイスで密かに動作できる Dalvik クラスのロード機能を悪用することがわかっています。 感染したアプリケーションがモバイル デバイスにロードされると、このマルウェアはアプリケーションの実行時に自動的に開始するバックグラウンド サービスを追加します。 このバックグラウンド サービスには、感染した Android デバイスから IMEI などの識別情報を収集し、ホスト アプリケーションから要求された権限のリストを集めてリモート サーバーに送信する機能があります。 サーバーは、この情報を受信すると、オンデバイス型のマルウェアにアクセスするための URL を返し、jar ファイルを取得します。jar ファイルは、感染した Android デバイスにそれ自体を自動的にロードし、ボットネットのような機能を有効にします。 ダウンロードした jar ファイルには、このほか、ブラウザーの履歴とブックマークなどの情報を取得し、デバイスの adb ログをダンプし、デバイスに格納されているアカウント認証情報を取得する機能があります。

A.Plankton.4

名前 A.Plankton.4
カテゴリー
リリース日付 2011/09/07
更新番号 7

Plankton は、違法コピーされ、トロイの木馬化されたアプリケーションとして配布される Android マルウェアです。 Plankton は、ノースカロライナ州立大学の研究者によって最初に特定されたもので、Plankton に感染したアプリケーションは、Android デバイスで密かに動作できる Dalvik クラスのロード機能を悪用することがわかっています。 感染したアプリケーションがモバイル デバイスにロードされると、このマルウェアはアプリケーションの実行時に自動的に開始するバックグラウンド サービスを追加します。 このバックグラウンド サービスには、感染した Android デバイスから IMEI などの識別情報を収集し、ホスト アプリケーションから要求された権限のリストを集めてリモート サーバーに送信する機能があります。 サーバーは、この情報を受信すると、オンデバイス型のマルウェアにアクセスするための URL を返し、jar ファイルを取得します。jar ファイルは、感染した Android デバイスにそれ自体を自動的にロードし、ボットネットのような機能を有効にします。 ダウンロードした jar ファイルには、このほか、ブラウザーの履歴とブックマークなどの情報を取得し、デバイスの adb ログをダンプし、デバイスに格納されているアカウント認証情報を取得する機能があります。

A.SPPush.2

名前 A.SPPush.2
カテゴリー
リリース日付 2012/01/27
更新番号 47

A.SPPush は、中国の Android ユーザーを標的とし、サードパーティーの Web ストアから配布される悪意のあるアプリケーションです。 このアプリケーションは、中国で一般に広く実装されている SMS ベースの購読システムを利用して、ユーザーへの通知および同意なしで特定のサービスにユーザーを登録します。

A.SPPush.3

名前 A.SPPush.3
カテゴリー
リリース日付 2012/01/27
更新番号 47

A.SPPush は、中国の Android ユーザーを標的とし、サードパーティーの Web ストアから配布される悪意のあるアプリケーションです。 このアプリケーションは、中国で一般に広く実装されている SMS ベースの購読システムを利用して、ユーザーへの通知および同意なしで特定のサービスにユーザーを登録します。

A.SPPush.a

名前 A.SPPush.a
カテゴリー
リリース日付 2012/01/27
更新番号 47

A.SPPush は、中国の Android ユーザーを標的とし、サードパーティーの Web ストアから配布される悪意のあるアプリケーションです。 このアプリケーションは、中国で一般に広く実装されている SMS ベースの購読システムを利用して、ユーザーへの通知および同意なしで特定のサービスにユーザーを登録します。

A.SPPush.b

名前 A.SPPush.b
カテゴリー
リリース日付 2012/01/27
更新番号 47

A.SPPush は、中国の Android ユーザーを標的とし、サードパーティーの Web ストアから配布される悪意のあるアプリケーションです。 このアプリケーションは、中国で一般に広く実装されている SMS ベースの購読システムを利用して、ユーザーへの通知および同意なしで特定のサービスにユーザーを登録します。

A.Skypwned.a

名前 A.Skypwned.a
カテゴリー
リリース日付 2011/04/19
更新番号 1

Skypwned は、Skype for Android の脆弱性を利用した機能を解説する目的で特に開発された概念実証(POC)アプリケーションです。 Skypwned POC は明白に悪意があるわけではありませんが、検出された場合にはデバイスから削除することをお勧めします。

A.SndApps.a

名前 A.SndApps.a
カテゴリー
リリース日付 2011/09/07
更新番号 7

SndApps は、Android デバイス向けのゲームのように見えるアプリケーションに含めて配布される Android マルウェアです。 SndApps は、さまざまなタイプのデバイス識別情報にアクセスしてリモート サーバーに転送します。 対象となる情報は、 キャリア/サービス プロバイダ、国コード、デバイス ID/IMEI 番号、デバイスに関連付けられた電子メール アドレス、電話番号です。SndApps に感染したアプリケーションは、正規のデベロッパーから再パッケージ化されたようには見えません。 この場合は、元のアプリケーションと同じデベロッパーが、後続のバージョンに悪意のあるコードを組み込んだかのように見えます。 これらのアプリケーションは当初、正規の Android Market で検出されましたが、その後は削除されています。

A.Spitmo.c

名前 A.Spitmo.c
カテゴリー
リリース日付 2012/01/27
更新番号 47

SPITMO/SpyEye は、PC が PC マルウェア SpyEye に感染しているユーザーに影響を与える Android マルウェアです。 感染した PC のユーザーがオンライン バンキング サイトにアクセスすると、SpyEye は銀行がモバイル デバイスの電話番号を尋ねているかのようにユーザーをだますコンテンツを銀行のページに埋め込み、mTan メッセージを使用して簡単にアウトオブバンド認証を行えるようにします。mTan メッセージは、銀行からモバイル ユーザーのデバイスに送信される 1 回限りのコードで、オンライン バンクの Web サイトにログインする際の認証に使用されます。 SpyEye がユーザーのモバイル デバイスの電話番号を取得すると、ユーザーは埋め込まれたコンテンツを通して、デバイスで mTan 認証を正しく検証するには「証明書」をダウンロードする必要があると通知されます。 実際には、ユーザーは SpyEye にモバイル デバイスの電話番号を提供したことになります。その後、だまされているとは知らずに SpyEye モバイル スパイウェア アプリケーションをインストールすると、金融機関から送信された mTan 番号が監視され、取得されてしまいます。 SpyEye は、SMS 経由でデバイスに配信されるこれらの mTan 番号を特定できるように構成されており、その後、特定した番号を第三者のサーバーに送信します。攻撃者は、そうして入手した番号を使用して、被害者のオンライン バンクの Web サイトにアクセスします。

A.SpyBubble.b

名前 A.SpyBubble.b
カテゴリー
リリース日付 2012/01/27
更新番号 47

Spy Bubble は、Android 携帯電話を対象としたステルス型の GPS 追跡ソフトウェアです。 Spy Bubble は、「ステルス型」の GPS 追跡機能とさまざまな監視/スパイ機能を備えた他の市販の Android 追跡アプリケーション(Mobile Spy など)にきわめてよく似ています。

追跡対象とする活動は次のとおりです。

GPS 位置情報
Android デバイスが送受信した SMS メッセージ
通話ログの表示

A.Spybub.a

名前 A.Spybub.a
カテゴリー
リリース日付 2010/03/03
更新番号 1

Spy Bubble は、Android 携帯電話を対象としたステルス型の GPS 追跡ソフトウェアです。 Spy Bubble は、「ステルス型」の GPS 追跡機能とさまざまな監視/スパイ機能を備えた他の市販の Android 追跡アプリケーション(Mobile Spy など)にきわめてよく似ています。

追跡対象とする活動は次のとおりです。

GPS 位置情報
Android デバイスが送受信した SMS メッセージ
通話ログの表示

A.Thefty.gen2

名前 A.Thefty.gen2
カテゴリー
リリース日付 2010/12/01
更新番号 1

Theft Aware は、個人が知らない間に GPS 位置情報を不法に監視できる機能を備えた盗難防止アプリケーションです。

Theft Aware は、Symbian デバイスおよび Android デバイスで動作する商用アプリケーションで、ユーザーは紛失または盗難されたモバイル デバイスを探索できます。

Theft Aware の機能は次のとおりです。

GPS 位置情報の監視
ステルス モード
リモート ロック/ワイプ
サイレン
ワイプ
SMS メッセージの取得
周辺雑音の監視を目的とした通知なしの通話
SMS コマンド

Theft Aware は有益なサービスをユーザーに提供する一方で、スパイウェアに分類されています。これは、疑いを抱いていないユーザーに検知されないようにデバイス上で積極的に自分の存在を隠すことができることにより、ユーザーの行動や通信を不法にスパイするツールとして使用される可能性があるためです。

A.Typstu

名前 A.Typstu
カテゴリー
リリース日付 2012/01/27
更新番号 47

Android/TypStu.D は、機密情報を第三者のサイトに送信します。このマルウェアは、ユーザーが自分の意思でデバイスにインストールする必要があります。

A.YzhcSms.1

名前 A.YzhcSms.1
カテゴリー
リリース日付 2012/01/27
更新番号 47

YZHCSMS は、デベロッパー「Gengine」による「com.ppxiu」というパッケージに含まれる Android 用のトロイの木馬アプリケーションです。 Android Market からは入手できなくなっているようですが、アジアのサードパーティーのストアでは引き続き提供されています。 この「YZHCSMS」というマルウェアは、アジア市場のみを標的としているように見受けられます。その動作としては、まず、オフラインの Web サイトにアクセスして、プレミアム料金がかかる番号(「アメリカン アイドル」に投票するときと同様の、SMS メッセージの送信先となる短いコード番号)のリストを取得し、「YZHC」で始まる SMS メッセージを送信します。 Web サーバーから取得したプレミアム料金がかかる番号とハードコードされた番号のリストとを組み合わせて、YZHCSMS は 50 分ごとに SMS/テキスト メッセージをターゲットに送信し、料金プランに応じてメッセージごとに異なる金額がユーザーに課金されるようにします。 この SMS トロイの木馬は、デバイスの起動時または感染したアプリケーションの実行時に開始されるバックグラウンド スレッドとして動作します。 バックグラウンド スレッドとして動作する機能に加え、YZHCSMS SMS トロイの木馬にはその本性を隠そうとする機能もあります。そのために、送信済みの SMS メッセージを削除し、さらに SMS 課金メッセージもあれば削除しようとします。課金メッセージは、先に送信されたプレミアム料金メッセージの結果を受けて受信することになります。 この SMS トロイの木馬にはいくつか変種があり、ただマルウェアにハードコードされた番号に関連するメッセージを削除するだけものもあれば、オフラインのサーバーから取得した番号に関連するメッセージを削除しようとするものもあります。 1 つ以上の変種を分析した結果、YZHCSMS のさまざまな変種にハードコードされている番号が明らかになっています。 1000、10000、10086、100086、123456、617915、19000101、19860102、19861119、91316005、91316007、101011101、12345678911、1065800885566、052714034192100013309、1240000089393100527140341001 です。mmssender クラスに存在する番号もあります。 052714034192100013309、10086、1240000089393100527140341001 です。少なくとも 1 つの変種が、SMSObserver クラスを介して、ハードコードされた番号に関連するメッセージを傍受しているようです。 その番号とは、10086 と 1065800885566 です。現時点では、これらのプレミアム料金がかかる番号がアジア市場以外でも機能するかどうかははっきりしません。 Android Market のデータを見る限り、このアプリケーションは 500 回前後しかダウンロードされていません。

A.YzhcSms.2

名前 A.YzhcSms.2
カテゴリー
リリース日付 2012/01/27
更新番号 47

YZHCSMS は、デベロッパー「Gengine」による「com.ppxiu」というパッケージに含まれる Android 用のトロイの木馬アプリケーションです。 Android Market からは入手できなくなっているようですが、アジアのサードパーティーのストアでは引き続き提供されています。 この「YZHCSMS」というマルウェアは、アジア市場のみを標的としているように見受けられます。その動作としては、まず、オフラインの Web サイトにアクセスして、プレミアム料金がかかる番号(「アメリカン アイドル」に投票するときと同様の、SMS メッセージの送信先となる短いコード番号)のリストを取得し、「YZHC」で始まる SMS メッセージを送信します。 Web サーバーから取得したプレミアム料金がかかる番号とハードコードされた番号のリストとを組み合わせて、YZHCSMS は 50 分ごとに SMS/テキスト メッセージをターゲットに送信し、料金プランに応じてメッセージごとに異なる金額がユーザーに課金されるようにします。 この SMS トロイの木馬は、デバイスの起動時または感染したアプリケーションの実行時に開始されるバックグラウンド スレッドとして動作します。 バックグラウンド スレッドとして動作する機能に加え、YZHCSMS SMS トロイの木馬にはその本性を隠そうとする機能もあります。そのために、送信済みの SMS メッセージを削除し、さらに SMS 課金メッセージもあれば削除しようとします。課金メッセージは、先に送信されたプレミアム料金メッセージの結果を受けて受信することになります。 この SMS トロイの木馬にはいくつか変種があり、ただマルウェアにハードコードされた番号に関連するメッセージを削除するだけものもあれば、オフラインのサーバーから取得した番号に関連するメッセージを削除しようとするものもあります。 1 つ以上の変種を分析した結果、YZHCSMS のさまざまな変種にハードコードされている番号が明らかになっています。 1000、10000、10086、100086、123456、617915、19000101、19860102、19861119、91316005、91316007、101011101、12345678911、1065800885566、052714034192100013309、1240000089393100527140341001 です。mmssender クラスに存在する番号もあります。 052714034192100013309、10086、1240000089393100527140341001 です。少なくとも 1 つの変種が、SMSObserver クラスを介して、ハードコードされた番号に関連するメッセージを傍受しているようです。 その番号とは、10086 と 1065800885566 です。現時点では、これらのプレミアム料金がかかる番号がアジア市場以外でも機能するかどうかははっきりしません。 Android Market のデータを見る限り、このアプリケーションは 500 回前後しかダウンロードされていません。

A.Yzhcsms.2

名前 A.Yzhcsms.2
カテゴリー
リリース日付 2012/01/27
更新番号 47

YZHCSMS は、デベロッパー「Gengine」による「com.ppxiu」というパッケージに含まれる Android 用のトロイの木馬アプリケーションです。 Android Market からは入手できなくなっているようですが、アジアのサードパーティーのストアでは引き続き提供されています。 この「YZHCSMS」というマルウェアは、アジア市場のみを標的としているように見受けられます。その動作としては、まず、オフラインの Web サイトにアクセスして、プレミアム料金がかかる番号(「アメリカン アイドル」に投票するときと同様の、SMS メッセージの送信先となる短いコード番号)のリストを取得し、「YZHC」で始まる SMS メッセージを送信します。 Web サーバーから取得したプレミアム料金がかかる番号とハードコードされた番号のリストとを組み合わせて、YZHCSMS は 50 分ごとに SMS/テキスト メッセージをターゲットに送信し、料金プランに応じてメッセージごとに異なる金額がユーザーに課金されるようにします。 この SMS トロイの木馬は、デバイスの起動時または感染したアプリケーションの実行時に開始されるバックグラウンド スレッドとして動作します。 バックグラウンド スレッドとして動作する機能に加え、YZHCSMS SMS トロイの木馬にはその本性を隠そうとする機能もあります。そのために、送信済みの SMS メッセージを削除し、さらに SMS 課金メッセージもあれば削除しようとします。課金メッセージは、先に送信されたプレミアム料金メッセージの結果を受けて受信することになります。 この SMS トロイの木馬にはいくつか変種があり、ただマルウェアにハードコードされた番号に関連するメッセージを削除するだけものもあれば、オフラインのサーバーから取得した番号に関連するメッセージを削除しようとするものもあります。 1 つ以上の変種を分析した結果、YZHCSMS のさまざまな変種にハードコードされている番号が明らかになっています。 1000、10000、10086、100086、123456、617915、19000101、19860102、19861119、91316005、91316007、101011101、12345678911、1065800885566、052714034192100013309、1240000089393100527140341001 です。mmssender クラスに存在する番号もあります。 052714034192100013309、10086、1240000089393100527140341001 です。少なくとも 1 つの変種が、SMSObserver クラスを介して、ハードコードされた番号に関連するメッセージを傍受しているようです。 その番号とは、10086 と 1065800885566 です。現時点では、これらのプレミアム料金がかかる番号がアジア市場以外でも機能するかどうかははっきりしません。 Android Market のデータを見る限り、このアプリケーションは 500 回前後しかダウンロードされていません。

A.Yzhcsms.3

名前 A.Yzhcsms.3
カテゴリー
リリース日付 2012/01/27
更新番号 47

YZHCSMS は、デベロッパー「Gengine」による「com.ppxiu」というパッケージに含まれる Android 用のトロイの木馬アプリケーションです。 Android Market からは入手できなくなっているようですが、アジアのサードパーティーのストアでは引き続き提供されています。 この「YZHCSMS」というマルウェアは、アジア市場のみを標的としているように見受けられます。その動作としては、まず、オフラインの Web サイトにアクセスして、プレミアム料金がかかる番号(「アメリカン アイドル」に投票するときと同様の、SMS メッセージの送信先となる短いコード番号)のリストを取得し、「YZHC」で始まる SMS メッセージを送信します。 Web サーバーから取得したプレミアム料金がかかる番号とハードコードされた番号のリストとを組み合わせて、YZHCSMS は 50 分ごとに SMS/テキスト メッセージをターゲットに送信し、料金プランに応じてメッセージごとに異なる金額がユーザーに課金されるようにします。 この SMS トロイの木馬は、デバイスの起動時または感染したアプリケーションの実行時に開始されるバックグラウンド スレッドとして動作します。 バックグラウンド スレッドとして動作する機能に加え、YZHCSMS SMS トロイの木馬にはその本性を隠そうとする機能もあります。そのために、送信済みの SMS メッセージを削除し、さらに SMS 課金メッセージもあれば削除しようとします。課金メッセージは、先に送信されたプレミアム料金メッセージの結果を受けて受信することになります。 この SMS トロイの木馬にはいくつか変種があり、ただマルウェアにハードコードされた番号に関連するメッセージを削除するだけものもあれば、オフラインのサーバーから取得した番号に関連するメッセージを削除しようとするものもあります。 1 つ以上の変種を分析した結果、YZHCSMS のさまざまな変種にハードコードされている番号が明らかになっています。 1000、10000、10086、100086、123456、617915、19000101、19860102、19861119、91316005、91316007、101011101、12345678911、1065800885566、052714034192100013309、1240000089393100527140341001 です。mmssender クラスに存在する番号もあります。 052714034192100013309、10086、1240000089393100527140341001 です。少なくとも 1 つの変種が、SMSObserver クラスを介して、ハードコードされた番号に関連するメッセージを傍受しているようです。 その番号とは、10086 と 1065800885566 です。現時点では、これらのプレミアム料金がかかる番号がアジア市場以外でも機能するかどうかははっきりしません。 Android Market のデータを見る限り、このアプリケーションは 500 回前後しかダウンロードされていません。

A.Yzhcsms.a

名前 A.Yzhcsms.a
カテゴリー
リリース日付 2011/09/07
更新番号 7

YZHCSMS は、デベロッパー「Gengine」による「com.ppxiu」というパッケージに含まれる Android 用のトロイの木馬アプリケーションです。 Android Market からは入手できなくなっているようですが、アジアのサードパーティーのストアでは引き続き提供されています。 この「YZHCSMS」というマルウェアは、アジア市場のみを標的としているように見受けられます。その動作としては、まず、オフラインの Web サイトにアクセスして、プレミアム料金がかかる番号(「アメリカン アイドル」に投票するときと同様の、SMS メッセージの送信先となる短いコード番号)のリストを取得し、「YZHC」で始まる SMS メッセージを送信します。 Web サーバーから取得したプレミアム料金がかかる番号とハードコードされた番号のリストとを組み合わせて、YZHCSMS は 50 分ごとに SMS/テキスト メッセージをターゲットに送信し、料金プランに応じてメッセージごとに異なる金額がユーザーに課金されるようにします。 この SMS トロイの木馬は、デバイスの起動時または感染したアプリケーションの実行時に開始されるバックグラウンド スレッドとして動作します。 バックグラウンド スレッドとして動作する機能に加え、YZHCSMS SMS トロイの木馬にはその本性を隠そうとする機能もあります。そのために、送信済みの SMS メッセージを削除し、さらに SMS 課金メッセージもあれば削除しようとします。課金メッセージは、先に送信されたプレミアム料金メッセージの結果を受けて受信することになります。 この SMS トロイの木馬にはいくつか変種があり、ただマルウェアにハードコードされた番号に関連するメッセージを削除するだけものもあれば、オフラインのサーバーから取得した番号に関連するメッセージを削除しようとするものもあります。 1 つ以上の変種を分析した結果、YZHCSMS のさまざまな変種にハードコードされている番号が明らかになっています。 1000、10000、10086、100086、123456、617915、19000101、19860102、19861119、91316005、91316007、101011101、12345678911、1065800885566、052714034192100013309、1240000089393100527140341001 です。mmssender クラスに存在する番号もあります。 052714034192100013309、10086、1240000089393100527140341001 です。少なくとも 1 つの変種が、SMSObserver クラスを介して、ハードコードされた番号に関連するメッセージを傍受しているようです。 その番号とは、10086 と 1065800885566 です。現時点では、これらのプレミアム料金がかかる番号がアジア市場以外でも機能するかどうかははっきりしません。 Android Market のデータを見る限り、このアプリケーションは 500 回前後しかダウンロードされていません。

A.ZSone.gen1

名前 A.ZSone.gen1
カテゴリー
リリース日付 2012/01/27
更新番号 47

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.ZSone.gen2

名前 A.ZSone.gen2
カテゴリー
リリース日付 2012/01/27
更新番号 47

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.ZSone.gen3

名前 A.ZSone.gen3
カテゴリー
リリース日付 2011/12/21
更新番号 43

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.01

名前 A.Zsone.01
カテゴリー
リリース日付 2011/05/19
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.02

名前 A.Zsone.02
カテゴリー
リリース日付 2011/05/19
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.03

名前 A.Zsone.03
カテゴリー
リリース日付 2011/05/19
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.04

名前 A.Zsone.04
カテゴリー
リリース日付 2011/05/19
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.05

名前 A.Zsone.05
カテゴリー
リリース日付 2011/05/19
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.06

名前 A.Zsone.06
カテゴリー
リリース日付 2011/05/19
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.07

名前 A.Zsone.07
カテゴリー
リリース日付 2011/05/19
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.08

名前 A.Zsone.08
カテゴリー
リリース日付 2011/05/19
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.09

名前 A.Zsone.09
カテゴリー
リリース日付 2011/05/19
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.10

名前 A.Zsone.10
カテゴリー
リリース日付 2011/05/19
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

A.Zsone.11

名前 A.Zsone.11
カテゴリー
リリース日付 2011/09/07
更新番号 7

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。 これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。 これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、 LoveBaby、iBook、iCartoon、Sea Ball、iCalendar、3D Cube horror terriblei、ShakeBanger、iMatch、对对碰、Shake Break、iSMS、iMine です。このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。 その番号とは、10086、1066185829、10000、10010、1066133、10655133、10621900、10626213、106691819、10665123085、10621900 です。多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で特別なコードが含まれています。 M6307AHD、aAHD、95pAHD、58#28AHD、YXX1、921X1 などです。すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

ADRD

名前 ADRD
カテゴリー
リリース日付 2011/04/01
更新番号 1

ADRD は、正規アプリケーションから違法コピーされた Android アプリケーションに組み込まれます。 Android アプリケーションは、正規の Android Market からダウンロードされ、展開された後、悪意のある ADRD コードが挿入され、再びパッケージ化されます。そのうえで、非正規のサードパーティー アプリケーション リポジトリに配布されます。 これまでのところ、ADRD は中国のアプリケーション リポジトリで確認されているのみですが、この脅威は他のサードパーティー サイトにも比較的容易に拡大する可能性があります。

攻撃者の意図どおり、ユーザーが SD カードにそのアプリケーションをダウンロードしてインストールすると、次のいずれかの条件が満たされたときに、ADRD は自己登録して動作を開始します。

OS が起動してから 12 時間が経過している

ネットワーク接続が変更された

デバイスが通話を受けた

次に、ADRD は次の情報を収集しようとします。

3gnet
3gwap
APN
cmnet
cmwap
ハードウェア情報
IMEI
IMSI
ネットワーク接続
uninet
uniwap
Wifi

続いて、このトロイの木馬は、盗み出した情報を暗号化して、次の場所に送信することを試みます。
[http://]adrd.taxuan.net/index[REMOVED]
[http://]adrd.xiaxiab.com/pic.[REMOVED]
ここに挙げた情報をリモート サーバーに送信し終えると、検索エンジンの操作を開始するようにトロイの木馬に伝える一連のインストラクションを受け取るために、ADRD は複数の HTTP リクエストを次の場所に送信します。

wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]

このように検索を要求する目的は、Web サイトのランキングを上げることです。

ADRD は、次の場所から新しいバージョンをダウンロードし、インストールすることで、リモートから更新することもできます。
sdcard/uc/myupdate.apk

ANSERVER

名前 ANSERVER
カテゴリー
リリース日付 2011/09/28
更新番号 39

Anserver は、Android デバイスを標的とする一連の悪意のあるアプリケーションです。 アプリケーションが Anserver に感染すると、マルウェアのデベロッパーが制御するリモート サーバーに接続する機能が組み込まれます。ユーザーの同意なしに他の悪意のあるペイロードをデバイスにダウンロードしてインストールすることが目的です。 また、モバイル セキュリティー アプリケーションを特定して強制終了しようとすることがわかっています。 また、

Anserver は、ユーザーをだましてインストールさせるために、トロイの木馬化された正規のホスト アプリケーションにパッケージ化されます。 インストールが完了すると、Anserver に感染したアプリケーションは、ユーザーをだまして元のホストの偽の「アップグレード」に同意させることで、悪意のあるペイロードを「タッチ スクリーン」としてデバイスにインストールします。

インストールされた Anserver は、次のようなさまざまな方法でトリガーされます。
- 接続の変更
- 電源の接続
- USB 大容量ストレージの接続または取り外し
- SMS メッセージの受信
- 入力方法の変更
- 起動の完了
- デバイスのロック解除

マルウェアの起動が成功すると、Anserver は Phone Home によって新しいコマンド&コントロール(C&C)サーバーのアドレスをチェックします。 接続が正常に完了すると、Anserver はプレーンテキストの XML でその C&C サーバー データベースを更新するためのコマンドを受信します。

最終的に、Anserver は機密性が高いと考えられるデバイス情報(OS バージョン、IMEI 番号、デバイスの製造元、およびデバイス モデル)をそのデベロッパーに送信できるようになります。

AccuTracking

名前 AccuTracking
カテゴリー
リリース日付 2011/04/01
更新番号 1

AccuTracking for Android

このシグネチャーは、Android デバイスで Accutracking for Android アプリケーションの存在を検出します。 Accutracking は、モバイル デバイスを GPS 追跡デバイスに変える Android アプリケーションです。 このようなタイプの GPS 追跡機能は必要であり、違法ではありませんが、Accutracking にはユーザーからそれ自体の存在を隠す機能が標準で備えられています。 このようなステルス型の動作により、権限のない個人が意図せず感染したユーザーの位置を追跡できてしまう可能性があります。

AnserverBot

名前 AnserverBot
カテゴリー
リリース日付 2011/09/28
更新番号 39

Anserver は、Android デバイスを標的とする一連の悪意のあるアプリケーションです。 アプリケーションが Anserver に感染すると、マルウェアのデベロッパーが制御するリモート サーバーに接続する機能が組み込まれます。ユーザーの同意なしに他の悪意のあるペイロードをデバイスにダウンロードしてインストールすることが目的です。 また、モバイル セキュリティー アプリケーションを特定して強制終了しようとすることがわかっています。 また、

Anserver は、ユーザーをだましてインストールさせるために、トロイの木馬化された正規のホスト アプリケーションにパッケージ化されます。 インストールが完了すると、Anserver に感染したアプリケーションは、ユーザーをだまして元のホストの偽の「アップグレード」に同意させることで、悪意のあるペイロードを「タッチ スクリーン」としてデバイスにインストールします。

インストールされた Anserver は、次のようなさまざまな方法でトリガーされます。
- 接続の変更
- 電源の接続
- USB 大容量ストレージの接続または取り外し
- SMS メッセージの受信
- 入力方法の変更
- 起動の完了
- デバイスのロック解除

マルウェアの起動が成功すると、Anserver は Phone Home によって新しいコマンド&コントロール(C&C)サーバーのアドレスをチェックします。 接続が正常に完了すると、Anserver はプレーンテキストの XML でその C&C サーバー データベースを更新するためのコマンドを受信します。

最終的に、Anserver は機密性が高いと考えられるデバイス情報(OS バージョン、IMEI 番号、デバイスの製造元、およびデバイス モデル)をそのデベロッパーに送信できるようになります。

Backdoor.AndroidOS.GinMaster.a1

名前 Backdoor.AndroidOS.GinMaster.a1
カテゴリー
リリース日付 2012/01/25
更新番号 47

GingerMaster は、Android 2.3(Gingerbread)に対して root エクスプロイトを利用した最初の Android マルウェアです。Android 2.2 以前のバージョンに対して root エクスプロイトを利用していたそれまでの Android マルウェアの変種と異なり、デバイスの root 権限を取得して機能を拡張できるようになっています。

GingerMaster は、正規のアプリケーション内に悪意のあるコードを再パッケージ化するというトレンドに追随しています。 このトロイの木馬化されたアプリケーションは、インストールされると、レシーバーを登録します。このレシーバーにより、システムが正常に起動されたことと、デバイス識別情報を収集してリモート サーバーにアップロードするサービスがバックグラウンドで開始されたことが通知されるようになります。

このデバイス情報を収集するだけでなく、GingerMaster に感染したアプリケーションは、GingerBreak という root エクスプロイトを利用してそれ自体の権限を root 権限に引き上げ、さらに、後で使用できるように root シェルをシステム パーティションにインストールすることを試みます。

root 権限を取得した後、GingerMaster はリモートのコマンドコントロール(C&C)サーバーに接続しようとします。ここで、ボット マスターからのインストラクションを待機します。 これで、GingerMaster は、あらかじめインストールしておいた rootシェルで pm install を実行することで、マルウェアの機能を拡張できる新たなアプリケーションを通知なくダウンロードしてインストールできるようになります。

Backdoor.AndroidOS.GinMaster.a4

名前 Backdoor.AndroidOS.GinMaster.a4
カテゴリー
リリース日付 2012/01/30
更新番号 50

GingerMaster は、Android 2.3(Gingerbread)に対して root エクスプロイトを利用した最初の Android マルウェアです。Android 2.2 以前のバージョンに対して root エクスプロイトを利用していたそれまでの Android マルウェアの変種と異なり、デバイスの root 権限を取得して機能を拡張できるようになっています。 GingerMaster は、正規のアプリケーション内に悪意のあるコードを再パッケージ化するというトレンドに追随しています。 このトロイの木馬化されたアプリケーションは、インストールされると、レシーバーを登録します。このレシーバーにより、システムが正常に起動されたことと、デバイス識別情報を収集してリモート サーバーにアップロードするサービスがバックグラウンドで開始されたことが通知されるようになります。 このデバイス情報を収集するだけでなく、GingerMaster に感染したアプリケーションは、GingerBreak という root エクスプロイトを利用してそれ自体の権限を root 権限に引き上げ、さらに、後で使用できるように root シェルをシステム パーティションにインストールすることを試みます。 root 権限を取得した後、GingerMaster はリモートのコマンドコントロール(C&C)サーバーに接続しようとします。ここで、ボット マスターからのインストラクションを待機します。 これで、GingerMaster は、あらかじめインストールしておいた rootシェルで pm install を実行することで、マルウェアの機能を拡張できる新たなアプリケーションを通知なくダウンロードしてインストールできるようになります。

Backdoor.AndroidOS.Kmin.c

名前 Backdoor.AndroidOS.Kmin.c
カテゴリー
リリース日付 2012/01/25
更新番号 47

KMin は、Android デバイスに感染する悪意のあるアプリケーションです。 このトロイの木馬は、「KMHome」という名前の Android アプリケーションを装う場合があり、デバイスのデバイス ID、加入者 ID、および現在の時刻を収集して、リモート サーバーに送信しようとします。

BaseBrid1

名前 BaseBrid1
カテゴリー
リリース日付 2012/01/25
更新番号 47

BaseBridge は、Android ユーザーに対して正規のアプリケーションに見せかけるように設計された、違法コピーされ、トロイの木馬化された一連のホスト アプリケーションに含めて配布されます。 BaseBridge に感染したアプリケーションは、Android 2.2 以前のデバイスの「udev」(BID 34536)脆弱性を利用して、感染したデバイスの root 権限を取得しようとします。

root 権限が取得できると、BaseBridge に感染したアプリケーションは、アプリケーション パッケージの「/res/raw/anservb」に格納されているペイロード(SMSApp.apk)をドロップします。 インストールが正常に完了すると、「SMSApp.apk」はポート 8080 のリモート サーバーに接続します。デバイス識別情報を送信することが目的です。 これには、「加入者 ID」、「製造元とモデル」、および「Android バージョン」などが該当します。

次に、BaseBridge に感染したアプリケーションは、一連の SMS メッセージをプレミアム料金がかかる SMS 番号に送信するように構成されます。これにより、メッセージ単位でユーザーのモバイル アカウントに課金されます。 このように課金された金額は、ほとんどの場合回収不能です。 BaseBridge は、このほか、プレミアム料金がかかる SMS メッセージを送信したことをユーザーが気付かないように、モバイル デバイスの受信箱から SMS メッセージを削除したり、発信者の同意なしに電話をかけたりすることもできます。

BaseBridge

名前 BaseBridge
カテゴリー
リリース日付 2011/06/07
更新番号 1

BaseBridge は、Android ユーザーに対して正規のアプリケーションに見せかけるように設計された、違法コピーされ、トロイの木馬化された一連のホスト アプリケーションに含めて配布されます。 BaseBridge に感染したアプリケーションは、Android 2.2 以前のデバイスの「udev」(BID 34536)脆弱性を利用して、感染したデバイスの root 権限を取得しようとします。

root 権限が取得できると、BaseBridge に感染したアプリケーションは、アプリケーション パッケージの「/res/raw/anservb」に格納されているペイロード(SMSApp.apk)をドロップします。 インストールが正常に完了すると、「SMSApp.apk」はポート 8080 のリモート サーバーに接続します。デバイス識別情報を送信することが目的です。 これには、「加入者 ID」、「製造元とモデル」、および「Android バージョン」などが該当します。

次に、BaseBridge に感染したアプリケーションは、一連の SMS メッセージをプレミアム料金がかかる SMS 番号に送信するように構成されます。これにより、メッセージ単位でユーザーのモバイル アカウントに課金されます。 このように課金された金額は、ほとんどの場合回収不能です。 BaseBridge は、このほか、プレミアム料金がかかる SMS メッセージを送信したことをユーザーが気付かないように、モバイル デバイスの受信箱から SMS メッセージを削除したり、発信者の同意なしに電話をかけたりすることもできます。

BatteryDoctor

名前 BatteryDoctor
カテゴリー
リリース日付 2011/10/26
更新番号 39

BatteryDoctor は、Android ユーザーを標的とするトロイの木馬アプリケーションです。Android デバイスのバッテリーを再充電できると過大に喧伝し、その一方でデバイスから次の個人情報を取得してリモート サーバーに送信します。

- デバイス IMEI 番号
- 電話番号
- 電話帳/連絡先データ
- 名前
- 電子メール アドレス

BatteryDoctor の真の狙いは、インストール時に要求する権限のレベルを見れば明らかです。

- 現在実行中か最近実行されたタスクに関する情報を収集します。
- 情報にアクセスし、WiFi の状態を変更します。
- ペアリングされた Bluetooth デバイスを検出して接続します。
- 電話の現在の状態をチェックします。
- システム設定を読み書きします。
- 外部ストレージ デバイスに書き込みます。
- ネットワーク接続を開きます。
- ネットワークに関する情報にアクセスします。
- デバイスの起動が完了すると起動します。
- 電話をマナー モードにします。
- Cell-ID や WiFi などの位置情報にアクセスします。
- 連絡先データを読み取ります。

Bgserv

名前 Bgserv
カテゴリー
リリース日付 2011/04/01
更新番号 1

Bgserv は Android デバイスに感染し、違法コピーされ、トロイの木馬化された Android アプリケーションとして配布されます。一見すると正規のアプリケーションのように見えます。 デバイスが Bgserv に感染すると、一見すると正規のアプリケーションに潜むこのマルウェアは、デバイス識別情報を収集してリモート サーバーに送信しようとします。 収集される情報は次のとおりです。

- IMEI 番号
- 電話番号
- インストール時刻
- Android のバージョン
- SMS Center

また、デバイスで次のような追加機能を開始するために、マルウェアのデベロッパーが使用できる、実行可能なコマンドのリストをダウンロードして、デバイスのバックドアを開くことも試みます。

- デバイスから SMS メッセージを送信する
- SMS メッセージの受信をブロックする
- 外部リンクのリストをダウンロードする
- 追加のファイルをダウンロードする
- 可能であればデバイスのアクセス ポート名(APN)を変更する
- デバッグ目的でそれ自体の活動をログに記録する

CellPhoneRecon

名前 CellPhoneRecon
カテゴリー
リリース日付 2011/04/01
更新番号 1

CellPhoneRecon は、権限のない個人でも、疑いを抱いていないユーザーの通信および位置を監視できる機能を持つ商用スパイウェア アプリケーションです。

CellPhoneRecon を使用すると、通信および位置データの記録をリモート サーバーに自動的にアップロードすることにより、SMS メッセージ、通話ログ、送受信した電子メール、および Android デバイスの GPS 位置データを監視できます。 これにより、このアプリケーションの制御やインストールを担当するエンティティが、Web ポータル経由でそのログとデータにアクセスできるようになります。 CellPhoneRecon をインストールした後、デバイスに物理的にアクセスして、ステルス モードで動作するように構成できます。

ユーザーからその存在を隠す機能を備えたこのような市販のスパイ/追跡アプリケーションは疑いを抱いていないユーザーに一定のリスクをもたらします。このため、その存在をユーザーに警告する目的で、スパイウェアとして検出されるようになっています。 Android デバイスへのインストールを承諾した場合、ユーザーは警告を無視してもかまいません。

DDLight-1

名前 DDLight-1
カテゴリー
リリース日付 2011/05/31
更新番号 1

DroidDream Light は、正規の Android Market を狙った前身の DroidDream の変種です。 DroidDream Light は、その前身と同じく、違法コピーされ、トロイの木馬化された Android アプリケーションに含まれています。 分析により、これらの、違法コピーされ、トロイの木馬化されたアプリケーションが持つ悪質性は、受信コールに応答するとアクティブになることが明らかになっています。 DroidDream Light は起動すると、IMEI 番号、電話番号、デバイス モデル、Android バージョンの各情報を収集してリモート サーバーに送信しようとします。

- IMEI 番号
- 電話番号
- デバイス モデル
- Android のバージョン

DroidDream Light マルウェアに感染したアプリケーションは、これ以外に、リモート サーバーから新たなパッケージをダウンロードしてインストールする機能も備えています。 その前身とは異なり、DroidDream、DroidDream Light は、こうした新たなアプリケーションをバックグラウンドでインストールする機能は備えていません。ユーザーはインストールを実行するように求められます。

DroidDelux

名前 DroidDelux
カテゴリー
リリース日付 2011/09/30
更新番号 35

DroidDelux は、違法コピーされ、トロイの木馬化された Android アプリケーションに含まれています。 DroidDelux は、バージョン 2.2 以前を実行している Android デバイスの root 権限を通知なく取得するために、rageagainstthecage という root エクスプロイトを利用します。 デバイスの root 権限を取得すると、DroidDelux はユーザーの認証情報が含まれている複数のシステム ファイルを誰でも開けるようにします。これで、別のアプリケーションからそのファイルにアクセスして、機密性が高いアカウント認証情報を盗み出すことができます。

DroidDelux は、起動後、機密性が高いデバイス情報を収集して、Google Analytics 経由で、アカウント ID が UA-19670793-1 のリモートの攻撃者にアップロードしようとします。

攻撃者にアップロードされるデバイス情報は次のとおりです。

- 電話のモデル
- デバイスの製造元
- デバイスのブランド

ユーザー認証情報が含まれているファイルのうち、ロックが解除されるのは次のとおりです。

/data/system/accounts.db
/data/data/com.android.email/databases/EmailProvider.db
/data/data/com.android.providers.contacts/databases/contacts2.db
/data/data/com.android.providers.telephony/databases/mmssms.db

これらのファイルには、アカウント名、認証トークン、連絡先などユーザーの機密情報が含まれています。

分析を行っても、DroidDelux に感染したアプリケーションにこれ以外のペイロードが含まれているかどうかは示されません。

DroidDream

名前 DroidDream
カテゴリー
リリース日付 2011/04/01
更新番号 1

DroidDream は、Android Market で初めて確認された Android を標的とする複雑なトロイの木馬でした。 DroidDream は、違法コピーされ、トロイの木馬化された一連のアプリケーションに含めて配布され、マルウェアのデベロッパーは悪意のあるコードを正規のアプリケーションに埋め込み、正規のアプリケーションとともにリリースしました。

DroidDream は、感染したデバイスの root 権限を取得するために、rageagainstthecage という root エクスプロイトを利用します。 root 権限が取得されると、ユーザーが知らないうちに、バックグラウンドで通知なくパッケージがインストールされ、その中にある新たなペイロードが DroidDream に感染したアプリケーションに含まれるようになります。 この新たなパッケージにより、トロイの木馬はデバイスをキャプチャして、

- 製品 ID
- モデル
- サービス プロバイダ
- デバイス言語
- デバイスに構成されたユーザー ID

この情報は、その後、リモート サーバーに送信されます。

DroidDream はさらに、トロイの木馬がバックグラウンドで自在に新たなアプリケーションをダウンロードしてインストールできるようにする機能を組み込みます。 この機能により、ユーザーに認識されることなく、マルウェアの機能がさらに拡張される可能性があります。

DroidDream-Inside

名前 DroidDream-Inside
カテゴリー
リリース日付 2011/07/27
更新番号 1

DroidDream-Inside は、DroidDream に感染したアプリケーション内に含まれているペイロードを検出し、感染した時点で被害者のデバイスにインストールされます。

DroidKungFu

名前 DroidKungFu
カテゴリー
リリース日付 2011/06/06
更新番号 1

Droid KungFu は、中国語を使用するユーザーをターゲットとする代替市場内で悪意のあるコードが機能するように違法コピーされ、トロイの木馬化された Android マルウェアで、再パッケージ化されたアプリケーションに含めて配布されます。

Droid KungFun は、感染したデバイスへの root アクセス権を通知なく取得するために、udev および rageagainstthecage という root エクスプロイトを利用します。 インストールが完了すると、感染したアプリケーションは、新しいサービスおよび新しいレシーバーをデバイスに登録して、レシーバーにデバイスの再起動完了を通知し、バックグラウンドでサービスを自動的に開始できるようにします。 開始されたサービスは、暗号化された root エクスプロイトのペイロードを復号化し、デバイスに対してエクスプロイトを開始して、root 権限への引き上げを試みます。

root 権限の取得が完了すると、Droid KungFu はデバイス情報を収集してリモート サーバーに送信しようとします。 収集されるデバイス情報は、

- IMEI 番号
- デバイス モデル
- Android バージョン

デバイスの登録に必要な情報を収集してリモート サーバーに送信したら、Droid KungFu はデバイス上で root 権限を使用して、ユーザーの同意なしにバックグラウンドで新たなパッケージをデバイスにインストールしようとします。 インストールされたアプリケーション「legacy」は、同じアプリケーション アイコンを使用して、正規の Google Search アプリケーションを装います。 legacy は、実際には、リモート サーバーに接続して次に行う操作を指示するコマンドやインストラクションを受信するバックドアであり、感染したデバイスを事実上ボットに変えてしまいます。

DroidKungFu2

名前 DroidKungFu2
カテゴリー
リリース日付 2011/07/04
更新番号 1

Droid KungFu2 は Droid KungFu マルウェアの変種です。元のマルウェアは、違法コピーされ、トロイの木馬化された Android アプリケーションにパッケージ化されています。 前身のマルウェアと同じ機能の大半を備え、Dalvik コード(Java ベース)で記述されたそのコードの一部を難読化する試みとして、代わりにネイティブ コードを使用します。 また、新たに 2 つのコマンドコントロール(C&C)ドメインを使用します(前身のマルウェアでは 1 つのみ)。

このように変更を加えることで、既存の検知方法を混乱させ、マルウェアの通信やその他の機能の分析および特定を困難にして、分析により長い時間がかかるようにしています。

DroidKungFu3

名前 DroidKungFu3
カテゴリー
リリース日付 2011/09/07
更新番号 5

Droid KungFu3 は、Android デバイスに感染する一連の Droid KungFun マルウェアの 3 つ目の変種です。 Droid KungFu3 は、その前身と同じく、違法コピーされ、トロイの木馬化された Android デバイス向けのアプリケーションに含まれています。 Droid KungFu3 では、真の目的を隠す機能がより高度になっています。 Droid KungFu2 は新たに 2 つのコマンドコントロール(C&C)サーバーを追加し、それらをネイティブ コードでハードコードしていますが、Droid KungFu3 は実際に 3 つすべての C&C サーバー アドレスを暗号化して、マルウェアのリバース エンジニアリングをさらに困難なものにしています。

Droid KungFu3 の主な目的に変わりはなく、微妙な違いがあるだけです。 Droid KungFu3 は、その前身と同じく、感染したデバイスの root 権限を取得するために、2 つの root エクスプロイトのいずれかを利用します。 root 権限の取得が完了すると、偽の Google Update アプリケーションを装う組み込みの APK(Android パッケージ)をインストールしようとします。

この組み込みのアプリケーションが正常にインストールされても、アプリケーション アイコンがユーザーに表示されません。 実際には、こうしてインストールされたアプリケーションはデバイスへのバックドアを開き、インストラクションを出すリモート サーバーに接続して、事実上、デバイスをボットに変えてしまいます。

Eicar

名前 Eicar
カテゴリー
リリース日付 2011/09/28
更新番号 39

EICAR ウィルス対策テスト アプリケーション
このアプリケーションは有害ではありません。 デバイスに損害を与えることはまったくありません。

このアプリケーションは、単にこのようなメッセージを表示するだけで、それ以上何もしません。 インストールする際に権限は必要ありません。 データを読み込んだり、インターネットにアクセスしたり、ファイルを作成したりすることはありません。 バックグラウンドで動作したり、自動的に起動したり、メッセージを表示する以外に何かを実行したりすることもありません。

ただし、European Institute for Computer Antivirus Research(EICAR)によって作成されたテキストが含まれています。すべてのウィルス対策製品でウィルスとして安全に検出されるように設計されたテキストで、現実のウィルスやその他のマルウェアにデバイスを実際に感染させることなく、ウィルス対策アプリケーションが正しく動作しているかどうかをテストできます。

このアプリケーションは完全に無害ですが、ウィルスとして検出されるようになっています。 このことがこのアプリケーションの目的です。 電話でウィルス対策アプリケーションが動作している場合に、このアプリケーションをインストールすると、ウィルスとして検出されます。

詳細については、Wikipedia で「EICAR テスト ファイル」を検索するか、または eicar.org の EICAR の Web サイトにアクセスしてください。

Exploit.Linux.Lotoor

名前 Exploit.Linux.Lotoor
カテゴリー
リリース日付 2012/01/25
更新番号 47

Exploit.Linux.Lotoor は、バージョン 2.3 までの Android デバイスに対して有効に機能する root エクスプロイトを使用する、Android デバイスを標的とした悪意のあるアプリケーションです。 このマルウェアでは、ホスト アプリケーションをインストールするためにユーザーの介入が必要になります。 インストールが完了すると、この再パッケージ化されたアプリケーションは root 権限を取得するべくデバイスに対して root エクスプロイトを開始します。 asset フォルダー内には、マルウェアの機能にとって鍵となる 4 つのファイルが存在し、ホスト アプリケーションをインストールすると、これらのファイルの拡張子が .sh に変更されます。

- gbfm.png
- install.png
- installsoft.png
- runme.png

root 権限を正常に取得すると、このマルウェアは新たに変更された install.sh ファイルを実行して、システム パーティションのファイル権限を設定します(chmod 4775)。 その後、このシェルは、/system/bin/sh から、悪意のあるアプリケーションによって作成された新しいフォルダー /system/xbin/appmaster にコピーされ、パーティションを再マウントします。 これにより、必要に応じてシェルにアクセスできるようになります。

このエクスプロイトは、SD カードが搭載されたデバイスでのみ機能します。

Fake-netFlic

名前 Fake-netFlic
カテゴリー
リリース日付 2011/10/26
更新番号 39

Fake-netFlic は、Android デバイス向けの NetFlix アプリケーションを装うトロイの木馬アプリケーションです。 インストール時に、Fake-netFlic は次の権限を要求します。これは、正規の NetFlix アプリケーションを超えています。

- ネットワーク接続を開きます。
- ネットワークに関する情報にアクセスします。
- WiFi の状態に関する情報にアクセスします。
- 電話の現在の状態をチェックします。
- プロセッサーがスリープ状態になったり、画面が暗くなったりするのを防止します。
- ユーザー イベントをイベント ストリームに埋め込んで任意のウィンドウに配信します。
- 低レベルのシステム ログへのアクセスを許可します。
- 外部ストレージ デバイスに書き込みます。
- デバッグ ログを収集します。
- 現在実行中か最近実行されたタスクに関する情報を収集します。

Fake-netFlic は、正規の NetFlix アプリケーションの正規のログイン画面に非常によく似たログイン画面を提示します。 ただし、わずかな違いがあります。 ユーザーが偽のログイン ページに NetFlix 認証情報を入力しても、実際にログインすることはありません。 マルウェアが直ちに認証情報をリモート サーバーに送信します。

FakePlayer

名前 FakePlayer
カテゴリー
リリース日付 2011/04/01
更新番号 1

Fake Player は、Android デバイスに感染することがわかった最初の SMS トロイの木馬アプリケーションです。 このアプリケーションは、「ru.apk」という名前の APK(Android パッケージ)という形式でハンドセットに配布され、デバイスのアプリケーション リストに「org.me.androidapplication1」として存在し、アプリケーション ドロワーに「Movie Player」と表示されます。 分析により、Fake Player はかなり初歩的なものであることが明らかになっています。デベロッパーが簡単な「Hello, World」アプリケーションを作成し、SMS_SEND 権限を要求することで非常に基本的な SMS 機能を含めるようにそのコードを変更しているためです。 SMS トロイの木馬としてインストールが完了すると、Fake Player はメッセージ本体に「798657」と記載した SMS メッセージをプレミアム料金がかかる SMS 番号「3353」に送信します。これにより、送信されたメッセージ単位でユーザーのモバイル アカウントに課金されます。 そのメッセージの送信が完了すると、このトロイの木馬は同じメッセージをショート コード「3354」に送信し、さらに 3 つ目のメッセージを「3353」に送信します。

分析により、Fake Player はサードパーティーのチャネルを介してのみ配布され、ローカルの Android Market に存在したことはなかったことが明らかになっています。 また、構成されたショート コードがロシア国内のネットワークに存在するため、ロシアのキャリア ネットワークの外では正しく機能せず、ロシア国外のキャリア ネットワークから到達することはできないと考えられています。 さらに、Fake Player は自己増殖できません。インストールするには、デバイスのユーザーが必要なアクションを開始すること、および要求されている権限をユーザーが承認することが必要となります。

FlexiSpy

名前 FlexiSpy
カテゴリー
リリース日付 2012/02/22
更新番号 50

FlexiSpy は、ほとんどの主要モバイル プラットフォームに感染する商用スパイウェアです。 通話および SMS メッセージを記録して、リモート サーバーに送信します。 これは、実際にこの目的のために設計されたアプリケーションです。 しかし、目的を明らかにしないで密かに動作するため、トロイの木馬に分類されています。 FlexiSpy は複数の異なるパッケージに組み込まれ、サポートされる機能セットは増加しています。 機能セットは次のとおりです。

リモート リスニング
SMS による電話制御
SMS および電子メールのロギング
通話履歴のロギング
位置追跡
通話傍受
GPS 追跡
遮蔽
ブラック リスト
ホワイト リスト
Web サポート
セキュアなログイン
ビュー レポート
詳細検索
ダウンロード レポート
特殊機能
SIM 変更通知
必須の GPRS 機能
記録した会話のリスニング

Foncy

名前 Foncy
カテゴリー
リリース日付 2011/12/09
更新番号 43

Foncy は、正規のアプリケーションに再パッケージ化された SMS トロイの木馬アプリケーションです。 特別な方法を使用してデバイスの国コードを取得し、プレミアム料金がかかる SMS メッセージをその国の特定の番号に送信します。 現時点では、欧州諸国とそのユーザーに影響を与えることだけがわかっています。

GGTracker

名前 GGTracker
カテゴリー
リリース日付 2011/06/23
更新番号 1

GGTracker は、Android デバイスを対象としたトロイの木馬で、SMS メッセージをプレミアム料金がかかる番号に送信し、機密性が高いデバイス情報を収集します。

このトロイの木馬は、実行されると、感染したデバイスの電話番号を送信して、制御下にあるサーバーが SMS メッセージをそのデバイスに送信できるようにします。

次に、受け取った SMS メッセージを監視し、SMS メッセージを傍受します。

00033335
00036397
33335
36397
46621
55991
55999
56255
96512
99735

また、41001 から SMS メッセージに次のように応答します。
YES

このトロイの木馬は、次のような情報を収集する可能性があります。

- デバイスの電話番号
- ネットワーク通信事業者の名前
- 傍受した SMS メッセージの送信者および本文
- 受信箱にある SMS メッセージの送信者および本文
- Android オペレーティング システムのバージョン

収集された情報は、その後、次の場所に送信されます。
http://www.amaz0n-cloud.com/droid/droid.php

Geinimi

名前 Geinimi
カテゴリー
リリース日付 2011/04/01
更新番号 1

Geinimi は、個人およびデバイスの識別情報を収集してリモート サーバーに送信する機能を備えた Android 向けのトロイの木馬です。 Geinimi はこれまでで最も巧妙な Android マルウェアであり、そのボットネット機能から、コマンドコントロール(C&C)機能が Geinimi コード ベースに組み込まれていることが明らかです。 現状では、実際の C&C 通信が特定されたという証拠はありませんが、分析により、チャネルは明らかになっています。 Geinimi の機能は次のとおりです。

- SMS メッセージを監視および送信する

- 選択した SMS メッセージを削除する

- 位置データを監視および送信する

- デバイス識別データ(IMEI/IMSI)を収集および送信する

- サードパーティー アプリケーションをダウンロードしてインストールするようにユーザーに指示する

- 感染したデバイスにインストールされているアプリケーションを列挙し、そのリストを送信する

- 通話を開始する

- 通知なくファイルをダウンロードする

- 事前定義した URL でブラウザーを起動する

これまでのところ、Geinimi に感染したアプリケーションは、中国のサードパーティー アプリケーション リポジトリでのみ確認されており、感染したアプリケーションの「サイドローディング」によるインストールのみが可能です。 Geinimi は、正規の Android Market ではまだ確認されていません。 実際、Geinimi は、Android Market から本物のアプリケーションを違法コピーし、逆アセンブルし、Geinimi コードをそのアプリケーションに組み込んで、再アセンブルしたものが多いようです。

Geinimi に感染したアプリケーション が高度な機能を備えているだけでなく、Geinimi は、Geinimi コード、および発生する通信の両方において、悪意のある動作を隠蔽し、暗号化するためのあらゆる機能を備えています。 分析を回避するために、Geinimi の作成者は、強度の低い DES 暗号を使用してコードの特定の文字列を暗号化しています。 幸い、12345678 というキーは強度が低く、コード内で容易に特定できたため、分析のために重要な文字列を復号化することができました。

Geinimi に感染したデバイスとその制御下にあるサーバー間の通信も、文字列の暗号化に使用されたものと同じ DES 暗号およびキーで暗号化されています。 このシナリオでは、Geinimi は通常は平文の HTTP リクエストとなるデータを暗号化して、トラフィックの視認性を低下させようとします。

ポート 8080 を経由する URL のうち、Geinimi コードで監視対象となっているのは次のとおりです。

www.widifu.com

www.udaore.com

www.frijd.com

www.piajesj.com

www.qoewsl.com

www.weolir.com

www.uisoa.com

www.riusdu.com

www.aiucr.com

117.135.134.185

Geinimi の初期分析により、影響を受けるアプリケーションは少数に限られることが明らかになっています。 ジュニパーの GTC は、Geinimi に感染しているアプリケーションを少なくとも 24 種類特定しています。 Geinimi コードに感染していることが確認されている Android パッケージは次のとおりです。

com.moonage.iTraining(A.Geinimi.01 として検出)

com.sgg.sp(A.Geinimi.02 として検出)

com.bitlogik.uconnect(A.Geinimi.03 として検出)

com.ubermind.ilightr(A.Geinimi.04 として検出)

com.outfit7.talkinghippo(A.Geinimi.05 として検出)

com.littlekillerz.legendsarcana(A.Geinimi.07 として検出)

com.xlabtech.MonsterTruckRally(A.Geimimi.08 として検出)

cmp.LocalService(A.Geinimi.09 として検出)

jp.co.kaku.spi.fs1006.Paid(A.Geinimi.10 として検出)

com.xlabtech.HardcoreDirtBike(A.Geinimi.11 として検出)

cmp.netsentry(A.Geinimi.12 として検出)

com.dseffects.MonkeyJump2(A.Geinimi.13 として検出)

com.wuzla.game.ScooterHero_Paid(A.Geinimi.14 として検出)

com.masshabit.squibble.free(A.Geinimi.15 として検出)

signcomsexgirl1.mm(A.Geinimi.16 として検出)

redrabbit.CityDefense(A.Geinimi.17 として検出)

com.gamevil.bs2010(A.Geinimi.18 として検出)

com.computertimeco.android.alienspresident(A.Geinimi.19 として検出)

com.apostek.SlotMachine.paid(A.Geinimi.20 として検出)

sex.sexy(A.Geinimi.21 として検出)

com.swampy.sexpos(A.Geinimi.22 として検出)

com.ericlie.cg5(A.Geinimi.23 として検出)

chaire1.mm(A.Geinimi.24 として検出)

前述したように、Geinimi に感染したアプリケーションに正規の Android Market からアクセスできることは確認されていません。 すべての Android アプリケーションと同じく、ユーザーは Geinimi に感染したアプリケーションを物理的にインストールし、要求されている権限を承認する必要があります。 Android ユーザーは、いかなるアプリケーションから権限を要求されたときも、必ずそのアプリケーションのコンテキストをよく確認することをお勧めします。 サードパーティー アプリケーション リポジトリから Android アプリケーションをサイドローディングする場合には、このことが特に当てはまります。

GingerMaster

名前 GingerMaster
カテゴリー
リリース日付 2012/01/25
更新番号 47

GingerMaster は、Android 2.3(Gingerbread)に対して root エクスプロイトを利用した最初の Android マルウェアです。Android 2.2 以前のバージョンに対して root エクスプロイトを利用していたそれまでの Android マルウェアの変種と異なり、デバイスの root 権限を取得して機能を拡張できるようになっています。

GingerMaster は、正規のアプリケーション内に悪意のあるコードを再パッケージ化するというトレンドに追随しています。 このトロイの木馬化されたアプリケーションは、インストールされると、レシーバーを登録します。このレシーバーにより、システムが正常に起動されたことと、デバイス識別情報を収集してリモート サーバーにアップロードするサービスがバックグラウンドで開始されたことが通知されるようになります。

このデバイス情報を収集するだけでなく、GingerMaster に感染したアプリケーションは、GingerBreak という root エクスプロイトを利用してそれ自体の権限を root 権限に引き上げ、さらに、後で使用できるように root シェルをシステム パーティションにインストールすることを試みます。

root 権限を取得した後、GingerMaster はリモートのコマンドコントロール(C&C)サーバーに接続しようとします。ここで、ボット マスターからのインストラクションを待機します。 これで、GingerMaster は、あらかじめインストールしておいた rootシェルで pm install を実行することで、マルウェアの機能を拡張できる新たなアプリケーションを通知なくダウンロードしてインストールできるようになります。

GoldDream

名前 GoldDream
カテゴリー
リリース日付 2011/07/04
更新番号 1

GoldDream は、「Fast Racing」と呼ばれるアプリケーションで確認された Android マルウェアです。 Fast Racing は、正しく機能するように見えるドラッグ レーシング ゲームですが、背後に悪意のあるコードが隠されています。

Fast Racing は、com.creativemobi.DragRacing というパッケージ名で配布され、動作で必要になる以上の権限を要求します。 注意を怠らなければ、これを悪意のあるアプリケーションとして識別できます。そのためには、次の許可を求められるかどうかに留意します。

- メッセージ
- 位置情報
- ネットワーク通信
- ストレージ
- 有料サービス
- 通話

ジュニパーネットワークスでは、GoldDream マルウェアに感染しているアプリケーションをこれまでに 6 個特定しています。 これらのアプリケーションのパッケージ名は次のとおりです。

Pure Girls 16(com.GoldDream.pg03)
Pure Girls 16(com.GoldDream.pg04)
Pure Girls 16(com.GoldDream.pg)
Forrest Defender(com.droid.game.forestman)
DevilDom Ninja(com.droidstu.game.devilninja)
Blood vs Zombie(com.gamelio.DrawSlasher)

GoldDream マルウェアに感染していることがわかっている Android アプリケーションは、感染したモバイル デバイスですべての受信/送信 SMS メッセージおよび通話を監視できます。 このマルウェアは、これらの通信をリッスンし、メッセージや通話に関連付けられた電話番号を取得します。 SMS メッセージの場合、GoldDream マルウェアは、メッセージの内容も取得し、取得したすべてのデータをモバイル ハンドセット上の 2 種類のテキスト ファイルに格納します。これは、取得したデータを制御下にあるサーバーに引き渡すためのコマンドを受信するまで続きます。[redacted]phonecall.txt

[redacted]sms.txt

メッセージやコールの送受信が完了すると、これらのファイルがデバイス上の /data/data/app_name/files フォルダーに作成されます。

GoldDream に感染したアプリケーションにもコマンドコントロール(C&C)機能が備えられ、指揮統制サーバーではこれを利用して、構成された一定の機能を実行するようマルウェアに指示します。 マルウェアの分析により、C&C サーバーが感染したデバイスに対し、次の機能を実行するよう指示できることが明らかになっています。

- バックグラウンドで SMS メッセージを送信する
- バックグラウンドで通話を開始する
- アプリケーションをバックグラウンドでインストール/アンインストールする
- ファイルをリモート サーバーにアップロードする

GraySpyware

名前 GraySpyware
カテゴリー
リリース日付 2011/04/01
更新番号 1

GraySpyware は、Android Market で最初に見つかった非営利のスパイウェアの 1 つです。 GraySpyware は、疑いを抱いていないユーザーのテキスト メッセージを監視する手段として市販されていた非常に基本的な形式の SMS スパイウェアでした。 インストールが完了すると、GraySpyware は基本的な Android ブラウザー アプリケーションを装いますが、送受信したすべての SMS メッセージをリモート サーバーに取得して監視を行います。

HippoSMS

名前 HippoSMS
カテゴリー
リリース日付 2011/07/12
更新番号 1

HippoSMS は、正規アプリケーションのクラック版(プロテクトを外したバージョン)に含められ、アジアのユーザーを標的としています。 インストールが完了すると、HippoSMS はメッセージ本体に 8 と記載した SMS メッセージをプレミアム料金がかかる番号に送信します。 また、受信する SMS メッセージを監視し、10 で始まるメッセージであれば削除します。

Jifake

名前 Jifake
カテゴリー
リリース日付 2012/01/25
更新番号 47

Jifake は、プリダウンロードで配布され、インスタント メッセージング アプリケーション JIMM をロシア語に変更します。 このプリダウンロードは、エンドユーザーに対し、本文に「744155jimm」と記載した SMS メッセージを短い番号(2476)に送信して完全版を入手するように求めます。 被害者には、その SMS メッセージの料金が課せられます。

Jifake には変種もあり、SMS を短い番号 1899 に送信します。 この SMS の本文には、 1107[APPLICATION_CODE]1[RANDOM NUMBER].4 と記載されます。

KidLogger

名前 KidLogger
カテゴリー
リリース日付 2011/07/29
更新番号 1

KidLogger は、Android デバイスを対象とした非営利のスパイウェアです。 現在も Android Market に存在し、KidLogger に関する Market での説明には、

電話とユーザーの次の活動をログ ファイルに記録するとあります。
- すべての通話
- SMS テキストとその受信者名
- Wi-fi 接続。
- GSM の状態(電波モードや通信事業者名など)
- USB 接続による SD カードの使用状況
- 使用されているすべてのアプリケーション
- アクセスした Web サイト(標準のブラウザーのみ)
- 画面上のキーボードで入力したキーストロークとクリップボードのテキスト
- 電話の座標情報と撮影された写真
- バックグラウンドでの密かな動作
- パスワードによる保護
- ユーザーの活動をログ ファイルに 5 日間保管するか、またはユーザーの Kidlogger.net アカウントにアップロードします。 電話の活動記録は、オンラインでいつでも参照できます。

インストール後(電話の再起動後)、*123456# に電話をかけると、KidLogger アプリケーションが開き、アクティブになります。
再起動を避けるには、入力方法として「Soft Keyboard PRO」をインストールします。 詳細については、「Soft Keyboard PRO」アプリケーションを参照してください。

KidLogger は、それ自体の存在をユーザーから隠す機能があるため、スパイウェアに分類されています。 このようなタイプのアプリケーションは、子供がオンラインやモバイルで何をしているかを把握しようとする親に必要なサービスを提供するのは確かですが、許可されていないユーザーに対し、何も知らないでいる人を不正に監視できる機能を提供していることも事実です。

Kmin

名前 Kmin
カテゴリー
リリース日付 2012/03/06

KMin は、Android デバイスに感染する悪意のあるアプリケーションです。 このトロイの木馬は、「KMHome」という名前の Android アプリケーションを装う場合があり、デバイスのデバイス ID、加入者 ID、および現在の時刻を収集して、リモート サーバーに送信しようとします。

KungFu

名前 KungFu
カテゴリー
リリース日付 2012/01/25
更新番号 47

Droid KungFu は、中国語を使用するユーザーをターゲットとする代替市場内で悪意のあるコードが機能するように違法コピーされ、トロイの木馬化された Android マルウェアで、再パッケージ化されたアプリケーションに含めて配布されます。

Droid KungFun は、感染したデバイスへの root アクセス権を通知なく取得するために、udev および rageagainstthecage という root エクスプロイトを利用します。 インストールが完了すると、感染したアプリケーションは、新しいサービスおよび新しいレシーバーをデバイスに登録して、レシーバーにデバイスの再起動完了を通知し、バックグラウンドでサービスを自動的に開始できるようにします。 開始されたサービスは、暗号化された root エクスプロイトのペイロードを復号化し、デバイスに対してエクスプロイトを開始して、root 権限への引き上げを試みます。

root 権限の取得が完了すると、Droid KungFu はデバイス情報を収集してリモート サーバーに送信しようとします。 収集されるデバイス情報は、

- IMEI 番号
- デバイス モデル
- Android バージョン

デバイスの登録に必要な情報を収集してリモート サーバーに送信したら、Droid KungFu はデバイス上で root 権限を使用して、ユーザーの同意なしにバックグラウンドで新たなパッケージをデバイスにインストールしようとします。 インストールされたアプリケーション「legacy」は、同じアプリケーション アイコンを使用して、正規の Google Search アプリケーションを装います。 legacy は、実際には、リモート サーバーに接続して次に行う操作を指示するコマンドやインストラクションを受信するバックドアであり、感染したデバイスを事実上ボットに変えてしまいます。

KungFu.a

名前 KungFu.a
カテゴリー
リリース日付 2012/01/25
更新番号 47

Droid KungFu2 は Droid KungFu マルウェアの変種です。元のマルウェアは、違法コピーされ、トロイの木馬化された Android アプリケーションにパッケージ化されています。 前身のマルウェアと同じ機能の大半を備え、Dalvik コード(Java ベース)で記述されたそのコードの一部を難読化する試みとして、代わりにネイティブ コードを使用します。 また、新たに 2 つのコマンドコントロール(C&C)ドメインを使用します(前身のマルウェアでは 1 つのみ)。

このように変更を加えることで、既存の検知方法を混乱させ、マルウェアの通信やその他の機能の分析および特定を困難にして、分析により長い時間がかかるようにしています。

KungFu.b

名前 KungFu.b
カテゴリー
リリース日付 2012/01/25
更新番号 47

Droid KungFu3 は、Android デバイスに感染する一連の Droid KungFun マルウェアの 3 つ目の変種です。 Droid KungFu3 は、その前身と同じく、違法コピーされ、トロイの木馬化された Android デバイス向けのアプリケーションに含まれています。 Droid KungFu3 では、真の目的を隠す機能がより高度になっています。 Droid KungFu2 は新たに 2 つのコマンドコントロール(C&C)サーバーを追加し、それらをネイティブ コードでハードコードしていますが、Droid KungFu3 は実際に 3 つすべての C&C サーバー アドレスを暗号化して、マルウェアのリバース エンジニアリングをさらに困難なものにしています。

Droid KungFu3 の主な目的に変わりはなく、微妙な違いがあるだけです。 Droid KungFu3 は、その前身と同じく、感染したデバイスの root 権限を取得するために、2 つの root エクスプロイトのいずれかを利用します。 root 権限の取得が完了すると、偽の Google Update アプリケーションを装う組み込みの APK(Android パッケージ)をインストールしようとします。

この組み込みのアプリケーションが正常にインストールされても、アプリケーション アイコンがユーザーに表示されません。 実際には、こうしてインストールされたアプリケーションはデバイスへのバックドアを開き、インストラクションを出すリモート サーバーに接続して、事実上、デバイスをボットに変えてしまいます。

LeeCookSpyware

名前 LeeCookSpyware
カテゴリー
リリース日付 2011/04/01
更新番号 1

LeeCook Spyware は、Android Market で最初に見つかった非営利のスパイウェアの 1 つです。 LeeCook Spyware は、疑いを抱いていないユーザーのテキスト メッセージを監視する手段として市販されていた非常に基本的な形式の SMS スパイウェアでした。 インストールが完了すると、LeeCook Spyware は基本的な Android ブラウザー アプリケーションを装いますが、送受信したすべての SMS メッセージをリモート サーバーに取得して監視を行います。

LoveTrap

名前 LoveTrap
カテゴリー
リリース日付 2011/09/07
更新番号 5

LoveTrap は、プレミアム料金がかかる番号に SMS メッセージを送信する Android トロイの木馬です。 インストールが完了すると、LoveTrap はリモート サーバーからプレミアム料金がかかる番号を取得して、モバイル ユーザーのアカウントに課金されるよう SMS メッセージを送信します。

次に、このトロイの木馬は、活動を隠すために、プレミアム料金がかかるすべての番号からの、確認 SMS メッセージのブロックを試みます。

MobinautenSMSSpy

名前 MobinautenSMSSpy
カテゴリー
リリース日付 2011/04/01
更新番号 1

Mobinauten SMS Spy は、Android Market に存在し、紛失したデバイスまたは盗難されたデバイスを見つけるのに役立つアプリケーションであると説明されています。 SMS Spy は、その存在をユーザーから隠し、デバイスのアプリケーション ドロワーにアプリケーション アイコンを挿入しないため、スパイウェアに分類されています。 SMS Spy は、「de.mobinauten.smsspy」というパッケージ名の「SMS Spy」というアプリケーション名で配布されます。

SMS Spy を使用して攻撃する場合、「How are you???」というメッセージを事前に構成した SMS メッセージをデバイスに送信する必要があります。そのメッセージを受信したデバイスは、3 つの SMS メッセージで送信者に応答します。 1 つ目のメッセージでは、この位置特定メッセージを受信したことを伝えます。 2 つ目のメッセージでは、デバイスの GPS 座標情報およびアドレスを返します。 3 つ目のメッセージでは、デバイスの位置を示す Google Map にリンクした URL を返します。

SMS Spy は、受信した「位置特定」SMS メッセージを非表示にするかどうかのオプションをユーザーに提示します。 この場合、ターゲット デバイス上で、surname は「systemnumber」、残りの情報は空白にして、個別の連絡先を作成する必要があります。 ターゲット デバイス上にこの「systemnumber」連絡先を作成することで、SMS Spy は正しく作成された位置特定メッセージを削除し、システム通知に送信されるメッセージを「Internal Service – SMS Database optimized and compressed」(内部サービス - SMS データベースは最適化され、圧縮されました)に変更します。

SMS Spy は、適切に使用すれば、有用なアプリケーションであることに間違いありません。 ただし、その存在をユーザーから隠す機能があり、受信した位置特定メッセージを攻撃者が排除できるため、Android スパイウェアに分類されています。これにより、このアプリケーションをデバイスに残すかどうかを、ユーザーが十分な情報に基づいて判断できるようにしています。

NickySpy

名前 NickySpy
カテゴリー
リリース日付 2011/09/07
更新番号 5

NickySpy は、Android デバイスに感染する悪意のあるプログラムです。 NickySpy は、「Android System Manager」という名前のアプリケーションとして配布されますが、実際にはデバイスに関する情報を収集してリモート サーバーに送信するのみです。 NickySpy が取得できる情報は、 音声コール、SMS メッセージ、GPS 位置情報、International Mobile Equipment Identity、IP アドレスです。このマルウェアは、音声コール データを SD カードの「/sdcard/shangzhou/callrecord」というフォルダーに格納します。さらに、タイマー イベントを作成して、データ収集を開始し、その詳細をリモート サーバーにアップロードします。

PJApps

名前 PJApps
カテゴリー
リリース日付 2011/04/01
更新番号 1

PJApps が含まれているのは、一般的に、正規の Android Market から違法コピーされ、分解された後、悪意のあるコードが埋め込まれた Android アプリケーションです。これらのアプリケーションは、中国のサードパーティーのアプリケーション ストアで正規のアプリケーションとして配布されています。

このトロイの木馬は、実行されると、次のアクションを実行するための権限を要求します。

- ネットワーク ソケットを開く
- 受信した SMS メッセージを送信および監視する
- ユーザーの閲覧履歴およびブックマークを読み書きする
- パッケージをインストールする
- 外部ストレージに書き込む
- 電話の状態(圏外や電源オフなど)を読み取る

次に、バックグラウンドで実行されるサービスを作成します。 これは危険なランチャーであり、デバイスの受信信号が変わるたびにトリガーされます。

サービスが開始すると、次の URL を使用して自己登録を試みます。

http://mobile.meego91.com/mm.do?..[PARAMETERS]

注:[PARAMETERS] は、デバイスから取得された次の情報が入る変数です。

- IMEI
- デバイス ID
- 回線番号
- 加入者 ID
- SIM シリアル番号

ランチャーは、感染したデバイスの IMEI 番号を使用して、攻撃者が制御する携帯電話の番号にメッセージを送信できます。 このメッセージが送信される携帯電話の番号は、次の URL から取得されます。

http://log.meego91.com:9033/android.log?[PARAMETERS]

また、次の場所からコマンドをダウンロードします。

http://xml.meego91.com:8118/push/newandroidxml/…

コマンドは、.xml ファイル内に記載され、次に挙げるようなコマンドが含まれています。
注:このコマンドの使用目的として最も可能性が高いのは、プレミアム料金がかかる番号にテキスト メッセージを送信することです。 携帯電話の番号およびコンテンツを指定する必要があり、新たに 2 つのアクションを実行できます。

1 つ目のアクションはブラックリスト登録です。指定した場合、携帯電話の番号がリモート サーバーに送信され、その番号がブラックリストに登録されているかどうかチェックされます。登録されている場合、メッセージは送信されません。 サービスの URL をパラメーターとしてコマンドに送信する必要があります。($blacklist_url) + "/?tel=" + 携帯電話の番号という形式で要求を発行すると、ブラックリストのチェックが実行されます。


もう 1 つのアクションはレスポンスのブロックです。Android.Pjapps には、受信するメッセージをリッスンする機能もあります。このため、note コマンドを使用して、特定の条件が満たされた場合にインバウンド メッセージをドロップするためのルールを指定し、ユーザーがメッセージを読まないようにすることができます。 メッセージ開始および終了の文字は、サポートされているフィルターに含まれています。

push:このコマンドは、SMS スパミングを実行します。次のパラメーターを指定する必要があります。

テキスト メッセージの内容
- メッセージ内容の最後に追加する URL
- テキストの送信先となる携帯電話の番号(# で区切ります)

soft:このコマンドは、感染したデバイスへのパッケージのインストールに使用されます。 パッケージは、パラメーターとしてコマンドとともに送信する必要があるリモートの URL からダウンロードされます。

window:このコマンドは、モバイルを特定の Web サイトにナビゲートさせます。 Android.Pjapps は、使用に適したブラウザーがあり、次に挙げるブラウザーの存在を確認します。

com.uc.browser
com.tencent.mtt
com.opera.mini.android
mobi.mgeek.TunnyBrowser
com.skyfire.browser
com.kolbysoft.steel
com.android.browser
android.paojiao.cn
ct2.paojiao.cn
g3g3.cn

mark:このコマンドは、感染したデバイスにブックマークを追加するために使用されます。 サービスが初めて開始された場合、Android.Pjapps はデフォルトで次のブックマークをデバイスに追加します。

xbox:このコマンドは、Android.Pjapps 解析コードで見つかりましたが、実装されていないようです。

PirateText

名前 PirateText
カテゴリー
リリース日付 2011/04/01
更新番号 1

PirateText は、「Walk and Text」というランキング上位の Android アプリケーションの海賊版です。 「Walk and Text」の正規のデベロッパーが新バージョンを Android Market にリリースしてから数時間のうちに Market から違法コピーされ、悪意のあるコードがパッケージに組み込まれ、サードパーティーのアプリケーション ストアに正規版として再配布されました。

Market から違法コピーされたバージョンはバージョン 1.3.6 です。 Market にある現在のバージョンは 1.5.3 です。 悪意のあるコードが組み込まれているバージョンは、バージョン 1.3.7 です。 バージョン 1.3.7 は、Incorporate Apps からリリースされた正規のアプリケーションの正規の更新ではないと考えられます。 現存するバージョン 1.3.7 は実際には、悪意のあるコードが書き込まれ、その後 Incorporate Apps が使用しているものとは異なる自己署名証明書で署名されたバージョン 1.3.6 のようです。 このことは、他者が、正規のデベロッパーの正規の証明書にアクセスできないため、このアプリケーションを再パッケージ化したことをよく示しています。

悪意のある「Walk and Text v1.3.7」アプリケーションは、ユーザーには正常に機能しているように見えます。 しかし、バックグラウンドでは、デバイスに登録されているすべての連絡先に SMS メッセージを送信します。

その内容は、「Hey,just downlaoded a pirated App off the Internet, Walk and Text for Android. Im stupid and cheap,it costed only 1 buck. Don’t steal like I did!」(インターネットから、Walk and Text という海賊版アプリをたったの 1 ドルでダウンロードしました。こんなマヌケでケチな私の真似をしないでね。)というものです。

「Walk and Text v1.3.7」は、デバイスの連絡先に迷惑な SMS メッセージを送信する以外は何も実行しません。 送信される SMS メッセージの性質から、海賊版アプリケーションのダウンロードは倫理に反すると作者が主張していることがわかりますが、作者も、同じく倫理に違反する手段を使用しているのです。

Plankton

名前 Plankton
カテゴリー
リリース日付 2011/06/07
更新番号 1

Plankton は、違法コピーされ、トロイの木馬化されたアプリケーションとして配布される Android マルウェアです。 Plankton は、ノースカロライナ州立大学の研究者によって最初に特定されたもので、Plankton に感染したアプリケーションは、Android デバイスで密かに動作できる Dalvik クラスのロード機能を悪用することがわかっています。

感染したアプリケーションがモバイル デバイスにロードされると、このマルウェアはアプリケーションの実行時に自動的に開始するバックグラウンド サービスを追加します。 このバックグラウンド サービスには、感染した Android デバイスから IMEI などの識別情報を収集し、ホスト アプリケーションから要求された権限のリストを集めてリモート サーバーに送信する機能があります。

サーバーは、この情報を受信すると、オンデバイス型のマルウェアにアクセスするための URL を返し、jar ファイルを取得します。jar ファイルは、感染した Android デバイスにそれ自体を自動的にロードし、ボットネットのような機能を有効にします。 ダウンロードした jar ファイルには、このほか、ブラウザーの履歴とブックマークなどの情報を取得し、デバイスの adb ログをダンプし、デバイスに格納されているアカウント認証情報を取得する機能があります。

SMSBomber

名前 SMSBomber
カテゴリー
リリース日付 2011/04/01
更新番号 1

SMSBomber は、Android デバイス用に開発された単純な SMS ボム アプリケーションです。 非常に多くの SMS メッセージでリモートの Android デバイスをフラッドさせて、SMS メッセージを送受信できないようにします。

SMSReplicator

名前 SMSReplicator
カテゴリー
リリース日付 2011/04/01
更新番号 1

SMS Replicator には、2 つのバージョンがあります。 きわめて悪意のあるバージョンは「Secret SMS Replicators」という名前で、悪意のないバージョンは「SMS Replicator」という名前です。 どちらのアプリケーションも、DLP Mobile によって開発され、Android Market に公開されました。DLP Mobile は通常、iPhone 向けにアプリケーションを開発しています。 いずれのバージョンでも、攻撃者は感染したデバイスとの間でやり取りされる SMS メッセージを監視目的で任意の電話に転送するように構成できます。 この 2 つのアプリケーション間の唯一の違いは、「Secret」バージョンでは、特別に作成された SMS メッセージを感染したデバイスに送信する場合を除き、アクセス可能なアプリケーション アイコンやインターフェイスがなく、ユーザーからその存在を隠すことです。 アプリケーション インターフェイスに入ると、両方のアプリケーションの外観はまったく同じです。

どちらのバージョンも Anroid Market にリリースされましたが、「Secret SMS Replicator」は、ユーザーのプライバシーを知らない間に侵害することも可能なスパイウェア アプリケーションと明示して販売したことが Anroid マーケットのサービス利用規約に違反するために、Anroid マーケットからすでに削除されています。 「Secret SMS Replicator」は、現在も、Android Market の外部にあるサードパーティーの販売元から購入できます。

「Secret SMS Replicator」のパッケージ名は次のとおりです。

com.dlp.SMSReplicatorSecret

「SMS Replicator」のパッケージ名は次のとおりです。

com.dlp.SMSReplicator

どちらのアプリケーションも、インストール時に次の Android 権限を要求します。

android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.READ_CONTACTS

また、SMS Replicator の両方の変種について、スパイウェア アプリケーションをインストールするには、攻撃者がターゲット デバイスに物理的にアクセスする必要があります。

SMSReplicatorSecret

名前 SMSReplicatorSecret
カテゴリー
リリース日付 2011/04/01
更新番号 1

SMS Replicator には、2 つのバージョンがあります。 きわめて悪意のあるバージョンは「Secret SMS Replicators」という名前で、悪意のないバージョンは「SMS Replicator」という名前です。 どちらのアプリケーションも、DLP Mobile によって開発され、Android Market に公開されました。DLP Mobile は通常、iPhone 向けにアプリケーションを開発しています。 いずれのバージョンでも、攻撃者は感染したデバイスとの間でやり取りされる SMS メッセージを監視目的で任意の電話に転送するように構成できます。 この 2 つのアプリケーション間の唯一の違いは、「Secret」バージョンでは、特別に作成された SMS メッセージを感染したデバイスに送信する場合を除き、アクセス可能なアプリケーション アイコンやインターフェイスがなく、ユーザーからその存在を隠すことです。 アプリケーション インターフェイスに入ると、両方のアプリケーションの外観はまったく同じです。

どちらのバージョンも Anroid Market にリリースされましたが、「Secret SMS Replicator」は、ユーザーのプライバシーを知らない間に侵害することも可能なスパイウェア アプリケーションと明示して販売したことが Anroid マーケットのサービス利用規約に違反するために、Anroid マーケットからすでに削除されています。 「Secret SMS Replicator」は、現在も、Android Market の外部にあるサードパーティーの販売元から購入できます。

「Secret SMS Replicator」のパッケージ名は次のとおりです。

com.dlp.SMSReplicatorSecret

「SMS Replicator」のパッケージ名は次のとおりです。

com.dlp.SMSReplicator

どちらのアプリケーションも、インストール時に次の Android 権限を要求します。

android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.READ_CONTACTS

また、SMS Replicator の両方の変種について、スパイウェア アプリケーションをインストールするには、攻撃者がターゲット デバイスに物理的にアクセスする必要があります。

SMSSpyFree

名前 SMSSpyFree
カテゴリー
リリース日付 2011/04/01
更新番号 1

SMS Spy Free は、有料のアプリケーション SMS Spy Pro のトライアル版です。 SMS Spy Free は、疑いを抱いていないユーザーの通信をスパイする手段として、SMS メッセージを取得し、事前に構成した電子メール アドレスに通知なく送信します。 SMS Spy Free は、「Tip Calculator」を装って正規の Android Market に存在することがわかっています。

SMS Spy Free は「Tip Calculator」を装うことで積極的にその存在と意図を隠そうとするため、許可されていないユーザーが疑いを抱いていないユーザーの通信をスパイできるようになります。 このため、非営利のスパイウェアに分類されています。

SMSSpyPro

名前 SMSSpyPro
カテゴリー
リリース日付 2011/04/01
更新番号 1

SMS Spy Pro は、Android デバイスを標的とする非営利のスパイウェアで、疑いを抱いていないユーザーの通信をスパイする手段として、SMS メッセージを取得し、事前に構成した電子メール アドレスに通知なく送信します。 SMS Spy Pro は、「Tip Calculator」を装って正規の Android Market に存在することがわかっています。

SMS Spy Pro は「Tip Calculator」を装うことで積極的にその存在と意図を隠そうとするため、許可されていないユーザーが疑いを抱いていないユーザーの通信をスパイできるようになります。 このため、非営利のスパイウェアに分類されています。

SkypwnedPOC

名前 SkypwnedPOC
カテゴリー
リリース日付 2011/04/15
更新番号 1

Skypwned は、Skype for Android の脆弱性を利用した機能を解説する目的で特に開発された概念実証(POC)アプリケーションです。 Skypwned POC は明白に悪意があるわけではありませんが、検出された場合にはデバイスから削除することをお勧めします。

SndApps

名前 SndApps
カテゴリー
リリース日付 2011/07/18
更新番号 1

SndApps は、Android デバイス向けのゲームのように見えるアプリケーションに含められる Android マルウェアです。 SndApps は、さまざまなタイプのデバイス識別情報にアクセスしてリモート サーバーに転送します。 対象となる情報は次のとおりです。

- キャリア/サービス プロバイダ
- 国コード
- デバイス ID/IMEI 番号
- デバイスに関連付けられた電子メール アドレス
- 電話番号

SndApps に感染したアプリケーションは、正規のデベロッパーから再パッケージ化されたようには見えません。 この場合は、元のアプリケーションと同じデベロッパーが、後続のバージョンに悪意のあるコードを組み込んだかのように見えます。 これらのアプリケーションは当初、正規の Android Market で検出されましたが、その後は削除されています。

SpyEye

名前 SpyEye
カテゴリー
リリース日付 2011/09/28
更新番号 39

SPITMO/SpyEye は、PC が PC マルウェア SpyEye に感染しているユーザーに影響を与える Android マルウェアです。 感染した PC のユーザーがオンライン バンキング サイトにアクセスすると、SpyEye は銀行がモバイル デバイスの電話番号を尋ねているかのようにユーザーをだますコンテンツを銀行のページに埋め込み、mTan メッセージを使用して簡単にアウトオブバンド認証を行えるようにします。mTan メッセージは、銀行からモバイル ユーザーのデバイスに送信される 1 回限りのコードで、オンライン バンクの Web サイトにログインする際の認証に使用されます。

SpyEye がユーザーのモバイル デバイスの電話番号を取得すると、ユーザーは埋め込まれたコンテンツを通して、デバイスで mTan 認証を正しく検証するには「証明書」をダウンロードする必要があると通知されます。 実際には、ユーザーは SpyEye にモバイル デバイスの電話番号を提供したことになります。その後、だまされているとは知らずに SpyEye モバイル スパイウェア アプリケーションをインストールすると、金融機関から送信された mTan 番号が監視され、取得されてしまいます。

SpyEye は、SMS 経由でデバイスに配信されるこれらの mTan 番号を特定できるように構成されており、その後、特定した番号を第三者のサーバーに送信します。攻撃者は、そうして入手した番号を使用して、被害者のオンライン バンクの Web サイトにアクセスします。

TapSnake-GPSSpy

名前 TapSnake-GPSSpy
カテゴリー
リリース日付 2011/04/01
更新番号 1

GPS Spy には、正しく動作する 2 つのスパイウェア機能があります。 被害者のデバイス上で、攻撃者は Android Market からまたは ADB プッシュにより、Tap Snake ゲームをダウンロードしてインストールします。 インストール後、Tap Snake ゲームを初めて実行すると、適切な認証情報を設定するための構成インターフェイスが提示されます。この認証情報が GPS 位置データへのアクセスに使用され、その結果、15 分ごとに GPS 位置データがオフサイトの Web サーバーに送信されるようになります。 2 回目以降、Tap Snake のルック アンド フィールはスネーク ゲームとまったく同じになり、ユーザーは、このアプリケーションが 15 分ごとに現在の位置を収集して送信しているとは知らずにプレーします。 次に、Tap Snake ゲームについて詳しく説明します。

攻撃者は、「GPS Spy」アプリケーションを自分のデバイスにダウンロードしてインストールします。 インストール後、GPS Spy アプリケーションを実行し、対応する認証情報を入力すると、GPS Spy アプリケーションが位置情報サーバーと同期するようになり、これにより攻撃者は 24 時間以上にわたって被害者のハンドセットの動きを追跡できます。 このスパイウェアの GPS Spy アプリケーションの部分の価格は 4.99 ドルです。 次に、GPS Spy アプリケーションについて詳しく説明します。

Trojan-SMS.AndroidOS.FakeInst.a1

名前 Trojan-SMS.AndroidOS.FakeInst.a1
カテゴリー
リリース日付 2012/01/25
更新番号 47

Android.FakeInst は、SMS メッセージをプレミアム料金がかかる電話番号に送信する SMS トロイの木馬です。 また、デバイス情報を収集してリモート サーバーに送信します。 サードパーティーのアプリケーション ストアにホストされていることがわかっています。 このトロイの木馬は、アプリケーションをダウンロードするにはプレミアム料金がかかるテキスト メッセージを 3 つ送信する必要があるとユーザーに通知します。ほとんどの場合、それらのアプリケーションは、正規の Android Market やその他のアプリケーション ストアで、無料で入手できます。

Trojan-SMS.AndroidOS.Opfake-1

名前 Trojan-SMS.AndroidOS.Opfake-1
カテゴリー
リリース日付 2012/01/25
更新番号 47

Trojan-SMS.AndroidOS.Opfake は、Android デバイスに感染する SMS トロイの木馬アプリケーションです。 このアプリケーションは、SMS メッセージをプレミアム料金がかかる番号に送信します。 また、デバイス識別情報を収集してリモート サーバーに送信します。

インストール時に、メッセージ ボックスを表示して、ユーザーに対し、この製品を有効にするには SMS メッセージを送信する必要があると警告します。 ユーザーが [Agree](同意する) をクリックすると、SMS メッセージを番号「5537」に送信します。

続いて、次の情報を収集して送信します。

- デバイス IMEI
- パッケージ名
- 電話番号
- 電話のモデル

Weatherfist

名前 Weatherfist
カテゴリー
リリース日付 2011/04/01
更新番号 1

Weatherfist は、2010 RSA Security カンファレンスでの MOBOTS プレゼンテーションの一環として開発された概念実証アプリケーションでした。 ボットネットに感染したデバイスの一般的な「Phone Home」特性が Android プラットフォームおよび iPhone プラットフォームで機能できるかどうかを明らかにしようとしたのです。 そのために、位置の特定に郵便番号を使用するのではなく、デバイスの GPS 位置情報を「weather」サーバーに返す「weather」アプリケーションを開発しました。 このアプリケーションの機能により、Android プラットフォームおよび iPhone プラットフォームのアプリケーションが確かに第三者のサーバーと通信できることが明らかになりました。ただし、そのための必要な権限をユーザーが承認するか、またはコードが App Store レビュー プロセスを通過できることが前提となります。 概念実証により、このアプリケーションのダウンロード数が、Android で重複なしで 700 回、iPhone で重複なしで 7,700 回近いことが明らかになりました。 公に配布されたこの概念実証アプリケーションは、いかなるタイプの個人データも収集せず、リモート アクセスや、ボットネットで一般的なコマンドとコントロール機能も一切許可しませんでした。 ただし、研究チームは、「WeatherFistBadMonkey」という名前の新たなアプリケーションを開発しました。このアプリケーションは、公にリリースされませんでしたが、通常のボットネットと同じコマンドとコントロール機能が含まれていました。 繰り返しますが、このバージョンの概念実証が公にリリースされることはありませんでした。 WeatherFist はトロイの木馬やバックドア アプリケーションではなく、通常の手段でデバイスから簡単に削除できました。

YZHCSMS

名前 YZHCSMS
カテゴリー
リリース日付 2011/06/06
更新番号 1

YZHCSMS は、デベロッパー「Gengine」による「com.ppxiu」というパッケージに含まれる Android 用のトロイの木馬アプリケーションです。 Android Market からは入手できなくなっているようですが、アジアのサードパーティーのストアでは引き続き提供されています。 この「YZHCSMS」というマルウェアは、アジア市場のみを標的としているように見受けられます。その動作としては、まず、オフラインの Web サイトにアクセスして、プレミアム料金がかかる番号(「アメリカン アイドル」に投票するときと同様の、SMS メッセージの送信先となる短いコード番号)のリストを取得し、「YZHC」で始まる SMS メッセージを送信します。

Web サーバーから取得したプレミアム料金がかかる番号とハードコードされた番号のリストとを組み合わせて、YZHCSMS は 50 分ごとに SMS/テキスト メッセージをターゲットに送信し、料金プランに応じてメッセージごとに異なる金額がユーザーに課金されるようにします。 この SMS トロイの木馬は、デバイスの起動時または感染したアプリケーションの実行時に開始されるバックグラウンド スレッドとして動作します。

バックグラウンド スレッドとして動作する機能に加え、YZHCSMS SMS トロイの木馬にはその本性を隠そうとする機能もあります。そのために、送信済みの SMS メッセージを削除し、さらに SMS 課金メッセージもあれば削除しようとします。課金メッセージは、先に送信されたプレミアム料金メッセージの結果を受けて受信することになります。

この SMS トロイの木馬にはいくつか変種があり、ただマルウェアにハードコードされた番号に関連するメッセージを削除するだけものもあれば、オフラインのサーバーから取得した番号に関連するメッセージを削除しようとするものもあります。

1 つ以上の変種を分析した結果、YZHCSMS のさまざまな変種にハードコードされている番号が明らかになっています。

1000
10000
10086
100086
123456
617915
19000101
19860102
19861119
91316005
91316007
101011101
12345678911
1065800885566
052714034192100013309
1240000089393100527140341001

mmssender クラスには、次の番号が存在します。

052714034192100013309
10086
1240000089393100527140341001

少なくとも 1 つの変種が、SMSObserver クラスを介して、ハードコードされた次の番号に関連するメッセージを傍受しているようです。

10086
1065800885566
現時点では、これらのプレミアム料金がかかる番号がアジア市場以外でも機能するかどうかははっきりしません。 Android Market のデータを見る限り、このアプリケーションは 500 回前後しかダウンロードされていません。

ZSoneSMSTrojan-1

名前 ZSoneSMSTrojan-1
カテゴリー
リリース日付 2011/04/01
更新番号 1

ZSone SMS トロイの木馬は、Android デバイスに感染する、違法コピーされ、トロイの木馬化された一連のアプリケーションです。 「Zsone」という名前を持つデベロッパーがこれらのアプリケーションのうち 13 個を公開しており、そのいくつかは SMS 通信を使用して、中国のプレミアム料金がかかるサービスに、ユーザーのデバイスを知らないうちに不正に登録します。

これまでに分析した 13 個のアプリケーションのうち 11 個がこのように動作し、プレミアム料金がかかるさまざまな番号を使用してデバイスを登録することがわかっています。 これらの悪意のあるアプリケーションの影響を受けて、プレミアム料金がかかるサービスにデバイスが登録され、自分のモバイル アカウントに対して料金が勝手に請求されていることに気付いた中国のユーザーもあります。

これらの悪意のあるアプリケーションのうち、デベロッパーが「Zsone」であると識別されているものは、

LoveBaby
iBook
iCartoon
Sea Ball
iCalendar
3D Cube horror terriblei
ShakeBanger
iMatch 对对碰
Shake Break
iSMS
iMine

このいずれのアプリケーションもプレミアム料金がかかる番号と通信しますが、その番号はいずれも中国のモバイル ネットワーク内でのみ有効であることがわかっています。

10086
1066185829
10000
10010
1066133
10655133
10621900
10626213
106691819
10665123085
10621900

多くの場合、プレミアム料金がかかるサービスにデバイスを登録するために送信される SMS メッセージの本文には、サービスへのデバイスの登録を容易にする目的で次の特別なコードが含まれています。

M6307AHD
aAHD
95pAHD
58#28AHD
YXX1
921X1

すでに説明したように、これらの悪意のあるアプリケーションがモバイル アカウントの登録先としているプレミアム料金がかかるサービスは、中国のモバイル ネットワーク内でのみ機能します。 中国のネットワーク外のユーザーは影響を受けません。デバイスが感染したためにメッセージが送信されてアカウントに課金されるという事態にはなりません。

Zitmo_Android

名前 Zitmo_Android
カテゴリー
リリース日付 2011/07/08
更新番号 1

SPITMO/SpyEye は、PC が PC マルウェア SpyEye に感染しているユーザーに影響を与える Android マルウェアです。 感染した PC のユーザーがオンライン バンキング サイトにアクセスすると、SpyEye は銀行がモバイル デバイスの電話番号を尋ねているかのようにユーザーをだますコンテンツを銀行のページに埋め込み、mTan メッセージを使用して簡単にアウトオブバンド認証を行えるようにします。mTan メッセージは、銀行からモバイル ユーザーのデバイスに送信される 1 回限りのコードで、オンライン バンクの Web サイトにログインする際の認証に使用されます。

SpyEye がユーザーのモバイル デバイスの電話番号を取得すると、ユーザーは埋め込まれたコンテンツを通して、デバイスで mTan 認証を正しく検証するには「証明書」をダウンロードする必要があると通知されます。 実際には、ユーザーは SpyEye にモバイル デバイスの電話番号を提供したことになります。その後、だまされているとは知らずに SpyEye モバイル スパイウェア アプリケーションをインストールすると、金融機関から送信された mTan 番号が監視され、取得されてしまいます。

SpyEye は、SMS 経由でデバイスに配信されるこれらの mTan 番号を特定できるように構成されており、その後、特定した番号を第三者のサーバーに送信します。攻撃者は、そうして入手した番号を使用して、被害者のオンライン バンクの Web サイトにアクセスします。

com.blitzforce.massada

名前 com.blitzforce.massada
カテゴリー
リリース日付 2011/04/01
更新番号 1

「com.blitzforce.massada」は、中国電子科技大学の Blitz Force Massada グループを送信元とする概念実証(POC)マルウェアであるかのように見せかけたパッケージ名で、Android デバイスを標的としています。 com.blitzforce.massada は POC であり、マルウェアとなる可能性を示しているのみで、損害を与えるために作成されたものではないと考えられます。

com.blitzforce.massada は、複数の攻撃を利用し、次の機能を備えていることがわかっています。

- ユーザーの介入なく受信コールを受け入れる
- ユーザーの介入なく電話を終了する
デバイスの無線を遮断して受信/送信コールを発生させない
- 機密性が高いデバイス情報を収集してリモート サーバーに送信する

BLACKBERRY

B.Flexyspy.BB

名前 B.Flexyspy.BB
カテゴリー
リリース日付 2009/04/23
更新番号 1

Flexispy は、市販のスパイウェア プログラムです。 デバイスに物理的にアクセスした人によってインストールされます。 インストールが完了すると、誤解を招くようなインストール済みのアプリケーション名を使用し、アプリケーション メニューに表示されないようにして、その存在を隠そうとします。
スパイウェアが検出に使用するサーバーに、SMS メッセージや通話情報などの機密性が高い情報を漏洩させる機能があります。
バージョンによっては、室内の会話を漏洩させる機能も備えています。

J2ME

J.Etisalat.A.un

名前 J.Etisalat.A.un
カテゴリー
リリース日付 2009/07/15
更新番号 1

Etisalat.A[MA] は、アラブ首長国連邦(UAE)で Etisalat ネットワークの BlackBerry 加入者に WAP プッシュで配信されたスパイウェア アプリケーションです。その際、この数週間に発生したネットワークの問題を修正する承認済みのパフォーマンス パッチであると説明されていました。 このスパイウェアの真の狙いは、BlackBerry ユーザーの電子メール メッセージを傍受して Etisalat ネットワーク内の監視エージェントに転送することです。 パッチは、.jar と .cod の両方の形式で配信されました。 .jar ファイルには、次のクラスが含まれています。

 

META-INF/
META-INF/MANIFEST.MF
Registration.cod
Registration.csl
Registration.cso
com/
com/ss8/
com/ss8/interceptor
com/ss8/interceptor/app/
com/ss8/interceptor/app/Commands.class
com/ss8/interceptor/app/Constants.class
com/ss8/interceptor/app/Log.class
com/ss8/interceptor/app/Main$1.class
com/ss8/interceptor/app/Main.class
com/ss8/interceptor/app/MsgOut.class
com/ss8/interceptor/app/Recv.class
com/ss8/interceptor/app/Send.class
com/ss8/interceptor/app/StatusChange.class<
com/ss8/interceptor/app/Transmit.class
com/ss8/interceptor/tcp/
com/ss8/interceptor/tcp/HTTPDeliver.class
com/ss8/interceptor/tcp/smtp/
com/ss8/interceptor/tcp/smtp/SMTPHeader.class
com/ss8/interceptor/tcp/SocketBase.class
Interceptor.class

これらの組み込まれたクラスにより、このスパイウェアはフォルダー更新、メッセージ ストア、アウトバウンド メッセージ、および無線イベントに接続できるようになります。
- Recv.class により、このスパイウェアは net.rim.blackberry.api.mail.event.FolderListener および net.rim.blackberry.api.mail.event.StoreListener を実装して、インバウンド メッセージを監視できます。

- Send.class により、このスパイウェアは net.rim.blackberry.api.mail.event.FolderListener および net.rim.blackberry.api.mail.SendListener を実装して、アウトバウンド メッセージを監視できます(ただし、このクラスは後でメッセージを転送するときにのみ使用されます)。

- StatusChange.class により、スパイウェアはネットワークの変更など無線イベントを監視できます。 特定のネットワーク変更が発生すると、Recv リスナーを削除して再登録します。

バージョン:4.91
著作権表記
時刻と日付
ピン番号
電話番号
IMEI
IMSI
シリアル番号:
デバイス名:
デバイスの製造元
プラットフォームのバージョン
理由: 「サービス変更」または「ネットワーク開始」のいずれか
状態: 稼働中のデバイスが停止

これらのコマンドは Commands.java に含まれ、MsgOut コンストラクタを呼び出してメッセージを MsgOut.java に渡します。 さらに別のメッセージが、次の情報とともに登録サーバーに送信されます。

バージョン:4.91
時刻と日付

登録の完了後、スパイウェアは「start」コマンドを制御エージェントから受信するまで非アクティブのままです。 このコマンドの電子メールは、直ちに削除されます。 受信する可能性があるコマンドは 4 つ(version、bCkp、start、stop)あり、いずれも暗号化されています。

スパイウェアは、アクティブになると、電子メール メッセージをリッスンします。 メッセージが届くと、Recv クラスはそのメッセージを検査して、4 つの組み込みのコマンドのいずれかが含まれていないかどうかを確認します。 含まれていない場合、メッセージを UTF-8 でエンコードし、gzip で圧縮し、「EtisalatIsAProviderForBlackBerry」というスタティック キーを使用して AES で暗号化します。さらに、全体を Base64 でエンコードします。 メッセージは、HTTP ポストを介して http://10.116.3.99:7095/bbupgr に転送されます。 制御エージェントに送信されるメッセージには、次の情報が含まれています。

メッセージの件名
メッセージ本文
送信元アドレス
送信先アドレス

受信側の HTTP サーバーが電子メールを作成して、受信した情報を次の電子メール アドレスに転送するものと想定されています。
regbb@etisalat.ae
etisalat_upgr@etisalat.ae

 

 

SYMB-3

S.Album.a

名前 S.Album.a
カテゴリー
リリース日付 2010/07/20
更新番号 1

Album は、SMS メッセージに含まれるリンクとして配布され、マルウェア SISX ファイルをダウンロードします。このマルウェアが、さらに SMS を送信します。 このシリーズの変種は Symbian Signed の認証を受けており、その署名証明書は Shenzhen ZhongXunTianCheng Technology に対して発行されています。

このマルウェアは、デバイスから電話番号を収集します。 取得した番号を使用して、さらにスパム SMS メッセージを送信し、そうやって増殖していきます。 同じような Yxes トロイの木馬と異なり、Album は第三者のライブラリを使用して SMS メッセージを送信します。 このため、SMS メッセージはユーザーの送信済みメッセージに表示されません。 これらのメッセージは、バッテリー駆動時間を短くし、SMS の課金を発生させます。

また、デバイス情報を収集してリモート サーバーに送信します。

アンインストールできないようにするため、Application Manager をはじめ、特定のデバイス プログラムを無効にします。

感染した SISX の再インストールを開始すると、実行中のそのプロセスが強制終了し(アプリケーションを上書きできるようにするため)、再インストールが適切なタイミングで終了すると Application Manager に再びアクセスできるようになります。

S.EicarSymb

名前 S.EicarSymb
カテゴリー
リリース日付 2011/11/01
更新番号 37

EICAR ウィルス対策テスト アプリケーション
このアプリケーションは有害ではありません。 デバイスに損害を与えることはまったくありません。

このアプリケーションには悪意がありません。データを読み込んだり、インターネットにアクセスしたり、ファイルを作成したりすることはありません。 バックグラウンドで動作したり、自動的に起動したり、メッセージを表示する以外に何かを実行したりすることもありません。

ただし、European Institute for Computer Antivirus Research(EICAR)によって作成されたテキストが含まれています。すべてのウィルス対策製品でウィルスとして安全に検出されるように設計されたテキストで、現実のウィルスやその他のマルウェアにデバイスを実際に感染させることなく、ウィルス対策アプリケーションが正しく動作しているかどうかをテストできます。

このアプリケーションは完全に無害ですが、ウィルスとして検出されるようになっています。 このことがこのアプリケーションの目的です。 電話でウィルス対策アプリケーションが動作している場合に、このアプリケーションをインストールすると、ウィルスとして検出されます。

詳細については、Wikipedia で「EICAR テスト ファイル」を検索するか、または eicar.org の EICAR の Web サイトにアクセスしてください。

S.FlexiSpy.gen4

名前 S.FlexiSpy.gen4
カテゴリー
リリース日付 2011/01/07
更新番号 1

Flexispy は、通話および SMS メッセージを記録してリモート サーバーに送信する、Symbian OS ベースのトロイの木馬です。 これは、実際にこの目的のために設計されたアプリケーションです。 しかし、目的を明らかにしないで密かに動作するため、トロイの木馬に分類されています。 FlexiSpy は複数の異なるパッケージに組み込まれ、サポートされる機能セットは増加しています。

機能セットは次のとおりです。

リモート リスニング
SMS による電話制御
SMS および電子メールのロギング
通話履歴のロギング
位置追跡
通話傍受
GPS 追跡
遮蔽
ブラック リスト
ホワイト リスト
Web サポート
セキュアなログイン
ビュー レポート
詳細検索
ダウンロード レポート
特殊機能
SIM 変更通知
必須の GPRS 機能
記録した会話のリスニング

S.Lopsoy.e

名前 S.Lopsoy.e
カテゴリー
リリース日付 2010/08/09
更新番号 1

Lopsoy は、SMS メッセージをプレミアム料金がかかる SMS 番号に送信して、デバイスのモバイル アカウントから資金を吸い上げる機能を備えた SMS トロイの木馬です。 Lopsoy は、PremiumSMSTroy.exe というファイルを伴うことが多く、次の Symbian パッケージに含まれることがわかっています。

- Stalker_s60.sis
- Virtual_Hottie_3D_Mobile_s40.sis
- Virtual_Hottie_3D_Mobile_s60.sis
- bluetooth_hack2_symbian7-8_s40.sis
- bluetooth_hack2_symbian9_s60.sis
- file17_symbian7-8.sis
- file17_symbian9.sis
- file28_symbian9.sis

Lopsoy SMS トロイの木馬には、複数の変種が存在することがわかっています。変種 a、b、c は厳密には第 3 エディションの Symbian 脅威であり、変種 d は第 2 エディションの脅威です。いずれの変種も、S.lopsoy.gen(drs)シグネチャーによって検出されます。

S.Lopsoy.f

名前 S.Lopsoy.f
カテゴリー
リリース日付 2011/09/07
更新番号 7

Lopsoy は、SMS メッセージをプレミアム料金がかかる SMS 番号に送信して、デバイスのモバイル アカウントから資金を吸い上げる機能を備えた SMS トロイの木馬です。 Lopsoy は、PremiumSMSTroy.exe というファイルを伴うことが多く、次の Symbian パッケージに含まれることがわかっています。

- Stalker_s60.sis
- Virtual_Hottie_3D_Mobile_s40.sis
- Virtual_Hottie_3D_Mobile_s60.sis
- bluetooth_hack2_symbian7-8_s40.sis
- bluetooth_hack2_symbian9_s60.sis
- file17_symbian7-8.sis
- file17_symbian9.sis
- file28_symbian9.sis

Lopsoy SMS トロイの木馬には、複数の変種が存在することがわかっています。変種 a、b、c は厳密には第 3 エディションの Symbian 脅威であり、変種 d は第 2 エディションの脅威です。いずれの変種も、S.lopsoy.gen(drs)シグネチャーによって検出されます。

S.NeoCall.gen

名前 S.NeoCall.gen
カテゴリー
リリース日付 2011/01/07
更新番号 1

NeoCall は、最初、攻撃者が、ユーザーが知らないうちに、その後のスパイ行為を実行できるようにする Symbian スパイウェア アプリケーションとして作成されました。

- Neo-Control:ユーザーは、NeoCall ソフトウェアで電話を制御できます。
- Neo-Setup:実践的なメニュー ツールを使用して、ターゲットの電話を構成します。
- Neo-Suite 2k8:これは、Symbian 9 対応の電話用のプログラム セットで、主要なアプリケーションを単一のソフトウェアにマージします。
- Neo-Phone:周囲の音や会話をすべてリッスンします(Nokia 6600、6670、7610)。
- Neo-Phone2:周囲の音や会話をすべてリッスンします(携帯電話 Symbian 7/8 および 9)。
- Neo-Interceptor:発信コールと受信コールの両方をリッスンします。
- Neo-Sms:SMS 転送
- Neo-Log amp; Email:電話のメモリ内の情報を記録して Bluetooth または電子メールで送信します。
- Neo-List:通話のリスト。
- Neo-Trax:BTS セルによるローカライゼーション。
- Neo-GPS:GPS 座標情報によるローカライゼーション。
- Neo-Brand:インストールのパーソナライズ。
- Neo-Contact:連絡先の管理。
- Neo-Virtual SMS: パーソナライズした送信者による SMS の転送。
Neo-Sim:SIM データ。
- Neo-Record:会話の音声記録。
- Neo-SMSInstall:SMS によるインストール。

攻撃者は、必要なデータを取得するために、ターゲット ハンドセットに SMS コマンドを送信して、ターゲット デバイスで実行中の NeoCall インスタンスを制御します。

NeoCall をターゲット デバイスにインストールするには、攻撃者がそのハンドセットに物理的にアクセスする必要があります。

S.Photoview.a

名前 S.Photoview.a
カテゴリー
リリース日付 2010/09/28
更新番号 1

Cell Phone Recon スパイウェアは、iPhone を除く主なスマートフォン プラットフォームで動作する商用スパイウェア アプリケーションです。 Cell Phone Recon は、アプリケーション アイコンをユーザーに表示しないようにして、感染した各プラットフォームでそれ自体の存在を隠します。 一方で、アプリケーション リストには「PhotoViewer」として存在します。 Cell Phone Recon は、次のスパイ機能を備えています。

- 送受信するすべての SMS メッセージを監視します。
- 送受信した電子メールの内容を表示します。
- 受発信した通話や応答しなかった通話をすべてログに記録します。
- 携帯電話の位置を監視して追跡します。
- 添付の画像も含め、HTML 形式の電子メールの内容を表示します。

攻撃者が特定のデバイスの位置および通信を監視できるように、Cell Phone Recon には管理 Web サイトがあり、容易に監視できます。 Cell Phone Recon の詳細な手順および情報については、ここを参照してください。

S.Spitmo.a

名前 S.Spitmo.a
カテゴリー
リリース日付 2011/05/19
更新番号 1

SPITMO/SpyEye は、PC が PC マルウェア SpyEye に感染しているユーザーに影響を与えます。 感染した PC のユーザーがオンライン バンキング サイトにアクセスすると、SpyEye は銀行がモバイル デバイスの電話番号を尋ねているかのようにユーザーをだますコンテンツを銀行のページに埋め込み、mTan メッセージを使用して簡単にアウトオブバンド認証を行えるようにします。mTan メッセージは、銀行からモバイル ユーザーのデバイスに送信される 1 回限りのコードで、オンライン バンクの Web サイトにログインする際の認証に使用されます。

SpyEye がユーザーのモバイル デバイスの電話番号を取得すると、ユーザーは埋め込まれたコンテンツを通して、デバイスで mTan 認証を正しく検証するには「証明書」をダウンロードする必要があると通知されます。 実際には、ユーザーは SpyEye にモバイル デバイスの電話番号を提供したことになります。その後、だまされているとは知らずに SpyEye モバイル スパイウェア アプリケーションをインストールすると、金融機関から送信された mTan 番号が監視され、取得されてしまいます。

SpyEye は、SMS 経由でデバイスに配信されるこれらの mTan 番号を特定できるように構成されており、その後、特定した番号を第三者のサーバーに送信します。攻撃者は、そうして入手した番号を使用して、被害者のオンライン バンクの Web サイトにアクセスします。

S.Upadapter.gen

名前 S.Upadapter.gen
カテゴリー
リリース日付 2010/12/06
更新番号 1

S.Upadapter.o(drs) は、Symbian デバイスに感染する AVK.Dumx.A シリーズのトロイの木馬のメンバーのように見えます。 この特定のサンプルは、中国を通して広がり、100 万台を超えるデバイスに感染していると報告されています。 感染すると、Upadapter は露骨に動作します。パッケージをダウンロードするための URL を記載した SMS メッセージをデバイスの連絡先リストにあるすべての番号に送信し、マスター サーバーに接続し直します。このサーバーが、感染したデバイスに関する情報を送信します。 この情報は、その後、感染したデバイスに SMS 経由でコマンドを送信するときに使用される可能性があります。

SMS メッセージを送信し、所有者の許可を得ていない通話をプレミアム料金がかかる番号に発信して所有者のモバイル アカウントから資金を移動するだけでなく、さらに高度な一部の PC マルウェアと同じように、ハンドセットで実行中のウィルス対策アプリケーションを無効にしようとします。

Upadapter の削除は非常に困難で、デバイス自体のリセットが必要になる場合が多く、そのために工場出荷時のデフォルトに戻すと、すべての個人データが失われます。

S.Yxes.i

名前 S.Yxes.i
カテゴリー
リリース日付 2010/08/09
更新番号 1

Yxe は、SMS メッセージに含まれるリンクとして配布され、マルウェアをダウンロードします。このマルウェアが、さらに SMS を送信します。 このシリーズの変種は、Symbian Signed の認証を受けており、第 3 エディション デバイスで実行可能になっています。 署名証明書は、XiaMen Jinlonghuatian または ShenZhen ChenGuangWuXian に対して発行されました。

次のいずれかへのリンクが含まれた SMS スパム メッセージが送信されます。

http://www.wwqx-mot.com/game
http://www.wwqx-sun.com/game
http://www.wwqx-cyw.com/game

これらのアドレスはいずれも、現在無効になっています。 これらのメッセージはゲームのダウンロードを促すものですが、実際には次の署名入りの SISX ファイルのいずれかがダウンロードされます。

sexy.sisx(boothelper.exe をインストール)
beauty.sisx(EConServer.exe をインストール)
beauty_new.sisx(別の EConServer.exe をインストール)

このマルウェアは、S60 第 3 エディション デバイスでのみ動作可能で、デバイスから電話番号を収集します。 取得した番号を使用して、さらにスパム SMS メッセージを送信し、そうやって増殖していきます。 送信済みメッセージは、メールボックスから削除されます。 これらのメッセージは、バッテリー駆動時間を短くし、SMS の課金を発生させます。

また、デバイス情報を収集してリモート サーバーに送信します。

アンインストールできないようにするため、Application Manager をはじめ、特定のデバイス プログラムを無効にします。

感染した SISX の再インストールを開始すると、実行中のそのプロセスが強制終了し(アプリケーションを上書きできるようにするため)、再インストールが適切なタイミングで終了すると Application Manager に再びアクセスできるようになります。

S.Zitmo.a

名前 S.Zitmo.a
カテゴリー
リリース日付 2010/09/28
更新番号 1

Zitmo は、Symbian デバイスおよび BlackBerry デバイスに感染するトロイの木馬アプリケーションで、Windows トロイの木馬 ZeuS がオンライン バンキング認証情報を盗み出すのを手助けします。
Zitmo は、被害者のオンライン バンキング Web サイトのログイン認証情報を盗み出すのに成功している Windows 用トロイの木馬 ZeuS と連携して動作する最初のモバイル用トロイの木馬アプリケーションです。 Zitmo は、攻撃の際、被害者の銀行から送信される SMS 認証メッセージを傍受するために、感染したデバイスの SMS 通信を監視しようとします。
金融機関の多くは、詐欺や個人情報の盗難から顧客を保護する手段として、アウトオブバンド認証方法の実装を始めています。 これまで実装された方法の 1 つに、銀行から顧客のモバイル デバイスに対し、顧客がオンライン バンキング Web サイトに正常にログインして金融取引や金融ビジネスを遂行するために必要な情報を SMS メッセージに記載して送信するというものがあります。
Zitmo は、ユーザーから電話番号やデバイス モデルをだまし取るように設計されたソーシャル エンジニアリング攻撃を何度か実行した後で、ターゲットのモバイル デバイスに配布される場合もあります。 最終目標は、ZeuS がユーザーをだまして「セキュリティー証明書」や銀行との通信を検証するためのその他の手段を装うアプリケーションをデバイスにインストールできるようにすることです。 Zitmo は、インストールが完了すると、こうした mTAN(Mobile Transaction Authentication Number)が記載されていることを期待して、デバイスに送信される SMS メッセージを取得します。
現在、ほとんどのヨーロッパ諸国が認証に mTAN を使用しています。そのため、この攻撃を無益なものにする技術には地域によってばらつきがあります。

WINCE

W.1Eicar Test Signature

名前 W.1Eicar Test Signature
カテゴリー
リリース日付 2008/03/11
更新番号 1

EICAR ウィルス対策テスト アプリケーション。このアプリケーションは有害ではありません。 デバイスに損害を与えることはまったくありません。 このアプリケーションは、単にこのようなメッセージを表示するだけで、それ以上何もしません。 インストールする際に権限は必要ありません。 データを読み込んだり、インターネットにアクセスしたり、ファイルを作成したりすることはありません。 バックグラウンドで動作したり、自動的に起動したり、メッセージを表示する以外に何かを実行したりすることもありません。 ただし、European Institute for Computer Antivirus Research(EICAR)によって作成されたテキストが含まれています。すべてのウィルス対策製品でウィルスとして安全に検出されるように設計されたテキストで、現実のウィルスやその他のマルウェアにデバイスを実際に感染させることなく、ウィルス対策アプリケーションが正しく動作しているかどうかをテストできます。 このアプリケーションは完全に無害ですが、ウィルスとして検出されるようになっています。 このことがこのアプリケーションの目的です。 電話でウィルス対策アプリケーションが動作している場合に、このアプリケーションをインストールすると、ウィルスとして検出されます。 詳細については、Wikipedia で「EICAR テスト ファイル」を検索するか、または eicar.org の EICAR の Web サイトにアクセスしてください。

W.Abcmag.a

名前 W.Abcmag.a
カテゴリー
リリース日付 2011/09/07
更新番号 7

Cake Mania Celebrity Chef や The Simpsons Arcade などさまざまなアプリケーションを装いますが、実際にはユーザーから資金を移動する目的でプレミアム料金がかかる SMS メッセージを送信する SMS トロイの木馬です。

W.AutoR.gen

名前 W.AutoR.gen
カテゴリー
リリース日付 2010/03/24
更新番号 1

取り外し可能なドライブ(通常はフラッシュ ドライブ)のルート フォルダーに配置された悪意のある Autorun.inf ファイル。 ドライブを Windows コンピューターに挿入すると、ドライブをフォルダーとして開くかのように見せかけて、実際には悪意のあるプログラムを実行するメニューが提示されます。

W.Autorun.gen2

名前 W.Autorun.gen2
カテゴリー
リリース日付 2010/06/04
更新番号 1

取り外し可能なドライブ(通常はフラッシュ ドライブ)のルート フォルダーに配置された悪意のある Autorun.inf ファイル。 ドライブを Windows コンピューターに挿入すると、ドライブをフォルダーとして開くかのように見せかけて、実際には悪意のあるプログラムを実行するメニューが提示されます。

W.BopSmiley.gen

名前 W.BopSmiley.gen
カテゴリー
リリース日付 2009/10/02
更新番号 1

MobileSpy は、SMS メッセージを介して SMS メッセージおよび通話情報を別の電話に漏洩させる市販のスパイウェア プログラムです。

詳細な情報: BopSmiley が、MobileSpy という CAB ファイルとしてデバイスに配布されます。 インストールが完了して実行されると、BopSmiley は複数のファイルをドロップし、デバイスの次のレジストリを変更することがわかっています。
\Program Files\Smartphone\Smartphone.exe
\Program Files\Smartphone\OpenNETCF.Net.dll
\Program Files\Smartphone\OpenNETCF.dll
\Program Files\Smartphone\hsmsutil.dll
また、次のレジストリ キーを作成します。
HKEY_CURRENT_USER\Software\RetinaxStudios
RememberUser="0"
AutoLogin="0"
Username""
Password=""
ReportTime="0"
smartphone.exe を実行するには、攻撃者は物理的にアクセスする必要があります。また、通話および SMS メッセージの傍受が有効に機能するようにこのスパイウェアを構成する必要があります。

W.Brador.A

名前 W.Brador.A
カテゴリー
リリース日付 2008/03/11
更新番号 1

Brador.A は、Windows CE(Pocket PC バージョン 2000、2002、2003)オペレーティング システムがインストールされた PDA デバイスにのみ感染するバックドアです。 Brador.A は、ポートを開き、電子メール メッセージを作成者に送信して、その開いたポートから感染した PDA にアクセスできることを通知します。
Brador は、それ自体を Startup フォルダーにコピーします。 次に、PDA の IP アドレスをバックドアの作成者に電子メールで送信し、TCP ポートでコマンドのリッスンを開始します。 これで、このハッカーは TCP ポート経由で PDA に接続し、バックドアから PDA を制御できるようになります。

W.Creeper.gen

名前 W.Creeper.gen
カテゴリー
リリース日付 2010/10/15
更新番号 1

これは、電話スパイ スイートです。
感染ファイルが保存された SD カードを挿入するだけで、通知なくインストールできます。
このプログラムは、インストール済みプログラムや実行中のプログラムに表示されず、さまざまなことを実行できるようにします。 このソフトウェアを実行している電話は、SMS テキスト メッセージを利用してリモートから制御できます。 すべてのコマンドを通知なく受信して直ちに削除し、結果を SMS メッセージで送信者に返します。

W.Cyppy.gen

名前 W.Cyppy.gen
カテゴリー
リリース日付 2009/08/06
更新番号 1

プレミアム料金がかかる 100 通の SMS メッセージを 8055 に送信して、ユーザーのアカウントから資金を移動しようとする SMS トロイの木馬。 この SMS アドレスは、多くの国では有効ではありません。

W.Duts.A

名前 W.Duts.A
カテゴリー
リリース日付 2008/03/11
更新番号 1

Duts は、Pocket PC を対象とした概念実証ウィルスです。

Duts.A は、Windows Mobile オペレーティング システムがインストールされたプラットフォームで拡張子が EXE の実行可能ファイルにのみ感染するウィルスです。 そのために、Duts.A は EXE ファイルの最後のセクションにそれ自体のコードのコピーを作成し、エントリ ポイントをそのコードにリダイレクトします。
特定の長さを超えるシステム内のすべての実行可能ファイルに感染し、これらの実行可能ファイルが使用されたらウィルス コードが実行されるように、エントリ ポイントをパッチで修正します。

W.FlxSpy

名前 W.FlxSpy
カテゴリー
リリース日付 2008/04/29
更新番号 1

Flexispy は、市販のスパイウェア プログラムです。 デバイスに物理的にアクセスした人によってインストールされます。 インストールが完了すると、誤解を招くようなインストール済みのアプリケーション名を使用し、アプリケーション メニューに表示されないようにして、その存在を隠そうとします。
スパイウェアが検出に使用するサーバーに、SMS メッセージや通話情報などの機密性が高い情報を漏洩させる機能があります。
バージョンによっては、室内の会話を漏洩させる機能も備えています。

W.FxSpFp

名前 W.FxSpFp
カテゴリー
リリース日付 2008/04/29
更新番号 1

Flexispy は、市販のスパイウェア プログラムです。 デバイスに物理的にアクセスした人によってインストールされます。 インストールが完了すると、誤解を招くようなインストール済みのアプリケーション名を使用し、アプリケーション メニューに表示されないようにして、その存在を隠そうとします。
スパイウェアが検出に使用するサーバーに、SMS メッセージや通話情報などの機密性が高い情報を漏洩させる機能があります。
バージョンによっては、室内の会話を漏洩させる機能も備えています。

W.FxSpVp

名前 W.FxSpVp
カテゴリー
リリース日付 2008/04/29
更新番号 1

Flexispy は、市販のスパイウェア プログラムです。 デバイスに物理的にアクセスした人によってインストールされます。 インストールが完了すると、誤解を招くようなインストール済みのアプリケーション名を使用し、アプリケーション メニューに表示されないようにして、その存在を隠そうとします。
スパイウェアが検出に使用するサーバーに、SMS メッセージや通話情報などの機密性が高い情報を漏洩させる機能があります。
バージョンによっては、室内の会話を漏洩させる機能も備えています。

W.Infojack.A

名前 W.Infojack.A
カテゴリー
リリース日付 2008/04/21
更新番号 1

機密性が高い情報を Web サイトに漏洩させます。 中国の通話利用者を標的にした「Little Games」パッケージを介して配信されます。
感染した SD カードを介して、悪意のあるコンポーネントを伝播させることができます。

詳細な情報: Windows CE トロイの木馬で、セキュリティー設定を低くし、新たなコンポーネントをダウンロードします。 デバイスからサーバーに情報を漏洩させます。
Infojack は、mobi.xiaomeiti.com の通信事業者によって作成されたり、通信事業者向けに作成されたりする場合もありましたが、それ以後 mobi.xiaomeiti.com は中国の政府機関によって閉鎖されています。 目的は、中国語の Pocket PC デバイスからデバイス情報を収集しようとしているように見えますが、新たなダウンロードでそれ自体を通知なくアップグレードする機能を備えていました。 バックアップ ファイルからそれ自体を復元して駆除されないようにします。 また、メモリ カードを介してそれ自体を拡散させます。 さらに、デバイスの Web ブラウザーのホーム ページを変更します。 感染プログラムは、正規のプログラムとともにインストールされます。 中国の Google Maps、株式取引プログラム、および(ほとんどの場合)10 個の小さなゲームからなるパッケージです。

W.LBooter.a

名前 W.LBooter.a
カテゴリー
リリース日付 2010/08/16
更新番号 1

デバイスが正しく再起動しないようにする HeRET Linux 起動プログラムのバージョン。 トロイの木馬を介してインストールされます。

W.Levar.a

名前 W.Levar.a
カテゴリー
リリース日付 2011/05/19
更新番号 1

AV プログラムを装いますが、実際には SMS トロイの木馬です。

W.Luanch.a

名前 W.Luanch.a
カテゴリー
リリース日付 2010/08/16
更新番号 1

電力管理プログラムやランチャーなどのアプリケーションを装いますが、実際にはプレミアム料金がかかる SMS メッセージを送信して、ユーザーのアカウントから資金を引き出す SMS トロイの木馬です。

W.MobUn.a

名前 W.MobUn.a
カテゴリー
リリース日付 2011/09/07
更新番号 7

起動のたびに実行されるように、それ自体をインストールすることを試みます。 SMS メッセージをプレミアム料金がかかる番号に送信して、ユーザーのアカウントから資金を引き出します。 後継バージョンをダウンロードしてインストールしようとします。

W.PMCrypt.gen

名前 W.PMCrypt.gen
カテゴリー
リリース日付 2010/08/20
更新番号 1

サービス拒否および手数料詐欺

詳細な情報: WinCE.PMCryptic.a は、Windows モバイル デバイスに感染するモバイル デバイス ワームです。 このワームは、メモリ カードを介して伝播し、これまでに数種類の形態が確認され、その性質上多様な形態を取りうると言われています。フォルダー アイコンを使用して偽装した実行可能ファイルとして配布され、実行しても無害であるとユーザーに信じ込ませます。 実行されると、デバイスのディレクトリ構造のルートにファイルをドロップし、ドロップしたファイルのいずれかを実行します。 ドロップしたファイルは、実行されると、次の機能を実行する 5 つのスレッドを起動します。
- ユーザーのアカウントに課金されるプレミアム料金がかかる番号への通話を開始します。
- 実行中のアプリケーションへのすべての入力を無効にして、電話が応答しないようにします。
- 数秒ごとにシステムの配色を変更し、最終的に黒一色の配色にしてデバイスを使用できないようにします。
- 取り外し可能なメディア カードがないかデバイスを検索します。 見つかった場合、それ自体のコピーを自動実行ファイルとしてそのメディア カードにドロップして、メディア カードが別のデバイスに挿入された場合に実行されるようにします。
- ディレクトリ構造でフォルダーがどうなっているかデバイスを検索します。 次に、フォルダーの名前をコピーし、フォルダー属性を「非表示」に設定します。 非表示になったら、それ自体をディレクトリにフォルダーの名前としてコピーし、再度ユーザーをだましてこの「フォルダー」を実行させようとします。

 

W.Photoview.a

名前 W.Photoview.a
カテゴリー
リリース日付 2010/09/28
更新番号 1

Cell Phone Recon は、マルチプラットフォームのスパイウェア アプリケーションです。

Cell Phone Recon スパイウェアは、iPhone を除く主なスマートフォン プラットフォームで動作する商用スパイウェア アプリケーションです。 Cell Phone Recon は、アプリケーション アイコンをユーザーに表示しないようにして、感染した各プラットフォームでそれ自体の存在を隠します。 一方で、アプリケーション リストには「PhotoViewer」として存在します。 Cell Phone Recon は、次のスパイ機能を備えています。

送受信するすべての SMS メッセージを監視します。
送受信した電子メールの内容を表示します。
受発信した通話や応答しなかった通話をすべてログに記録します。
携帯電話の位置を監視して追跡します。
添付の画像も含め、HTML 形式の電子メールの内容を表示します。


攻撃者が特定のデバイスの位置および通信を監視できるように、Cell Phone Recon には管理 Web サイトがあり、容易に監視できます。

W.Redoc.gen

名前 W.Redoc.gen
カテゴリー
リリース日付 2009/05/22
更新番号 1

Redoc は、SMS トロイの木馬です。

一見すると有効なアプリケーションにバンドルされていますが、トロイの木馬としての動作を潜ませています。 実際には、不正な SMS メッセージをプレミアム料金がかかる番号に送信します。

W.Sejweek.b

名前 W.Sejweek.b
カテゴリー
リリース日付 2010/01/13
更新番号 1

Sejweek は、インターネットにアクセスし、SMS メッセージをプレミアム料金がかかる番号に定期的に送信する SMS トロイの木馬です。

WinCE/Sejweek.B は、「sejweek.bin」という Microsoft キャビネット アーカイブ ファイルに配布されます。 このアーカイブ ファイルには、次の悪意のあるコンポーネントが含まれています。
sendservice.exe
setupdll.dll
「setupdll.dll」は、Windows Mobile インストール プロセスによって呼び出される動的リンク ライブラリです。 マルウェアの作成者がこのコンポーネントを作成したのは、「sendservice.exe」を「\temp\」から「\windows\」にコピーするためです。 次に、このコンポーネントはインストール時に WinCE/Sejweek.B を実行するプロセスを作成します。 「setupdll.dll」は、デバイスにインストールされません。
「sendservice.exe」は、Microsoft .NET 実行可能ファイルです。 このファイルを機能させるには、Microsoft .NET Compact Framework 2.0 以降がデバイスにインストールされている必要があります。
WinCE/Sejweek.B は、レジストリ キー HKLM\Init\Launch96 を作成し、その値として対応する実行可能ファイル名を追加して、起動時に動作するようにします。
WinCE/Sejweek.B は、5 分ごとに現在の時刻をチェックします。現在の時刻が SMS の最終送信時刻よりも後の時刻で、現在の時刻の時間の部分が 11 以上である場合は、http://[removed].com/[removed]/get.php という URL に接続して、XML 形式の設定ファイルを取得します。 このファイルには、電話番号、メッセージ本体、および SMS メッセージの送信間隔が記載されています。
電話番号および間隔は、エンコードされた形式で設定ファイルに格納されます。 設定値をデコードした後、WinCE/Sejweek.B はそれ自体と同じディレクトリに「servicedata.dat」ファイルを作成して、電話番号、メッセージ テキスト、および間隔を格納します。
サーバーが「電話」要素に無効なデータ(たとえば、エンコードが無効なデータ)を送信した場合、 WinCE/Sejweek.B が例外で終了することがあります。

W.Spybub.a

名前 W.Spybub.a
カテゴリー
リリース日付 2010/02/24
更新番号 1

Spy Bubble は、ステルス型の GPS 追跡ソフトウェアです。 Spy Bubble は、「ステルス型」の GPS 追跡機能とさまざまな監視/スパイ機能を備えた他の市販の Android 追跡アプリケーション(Mobile Spy など)にきわめてよく似ています。

追跡対象とする活動は次のとおりです。

GPS 位置情報
デバイスが送受信した SMS メッセージ
通話ログの表示

W.Terdial.gen

名前 W.Terdial.gen
カテゴリー
リリース日付 2010/07/09
更新番号 1

Terdial は、Windows モバイル デバイスを標的としたトロイの木馬アプリケーションです。

詳細な情報: Terdial は、2 種類の形態があるトロイの木馬アプリケーションです。 1 つ目は、「3D Anti-terrorist action」というタイトルのゲームを装います。 2 つ目のバージョンは、「Codec Pack for Windows Mobile 1.0」というタイトルです。 どちらのアプリケーションのペイロードも、プレミアム料金がかかる電話番号への通話を定期的に行います。

Terdial は、次のパッケージに含まれています。

antiterrorist3d.cab
codecpack.cab

どちらのパッケージも、新たなファイルをデバイスの「smart32. exe」というシステム ディレクトリにコピーします。

デバイスに感染すると、Terdial はプレミアム料金がかかる 6 つの番号へそれぞれ 50 秒の間隔を置いて通話します。 このトロイの木馬の新しいバージョンでは、通話間の間隔が 500 秒に延びています。 次に、これまでに特定された番号を示します。

+8823460777
+17675033611
+88213213214
+25240221601
+2392283261
+881842011123
Terdial は、次のアルゴリズムで設定される時間間隔を使用して、プレミアム料金がかかる番号に通話するタイミングを決定します。
時間 = (初めて実行した日 + 3) + (初めて実行した時間 - [0 から 6 までのランダムな整数])
たとえば、2010 年 4 月 13 日(火曜日)の 14 時 15 分に初めて実行され、ランダムな整数が 4 である場合、時限爆弾は 2010 年 4 月 16 日(金曜日)の 10 時 15 分に設定されます。
この時限爆弾が爆発する前に再度実行された場合は、新たに別の時限爆弾が次に示す月の同じ時刻に設定されます。
後で実行される新しい時限爆弾 = (実行された月 + 1)
たとえば、2 回目の実行が 2010 年 4 月 13 日(火曜日)の 14 時 22 分にトリガーされた場合、新しい時限爆弾が 2010 年 5 月 13 日(火曜日)の 14 時 22 分に設定されます。

 

W.Zitmo.b

名前 W.Zitmo.b
カテゴリー
リリース日付 2011/03/09
更新番号 1

Zitmo は、デバイスに感染するトロイの木馬アプリケーションで、Windows トロイの木馬 ZeuS がオンライン バンキング認証情報を盗み出すのを手助けします。
Zitmo は、被害者のオンライン バンキング Web サイトのログイン認証情報を盗み出すのに成功している Windows 用トロイの木馬 ZeuS と連携して動作する最初のモバイル用トロイの木馬アプリケーションです。 Zitmo は、攻撃の際、被害者の銀行から送信される SMS 認証メッセージを傍受するために、感染したデバイスの SMS 通信を監視しようとします。
金融機関の多くは、詐欺や個人情報の盗難から顧客を保護する手段として、アウトオブバンド認証方法の実装を始めています。 これまで実装された方法の 1 つに、銀行から顧客のモバイル デバイスに対し、顧客がオンライン バンキング Web サイトに正常にログインして金融取引や金融ビジネスを遂行するために必要な情報を SMS メッセージに記載して送信するというものがあります。
Zitmo は、ユーザーから電話番号やデバイス モデルをだまし取るように設計されたソーシャル エンジニアリング攻撃を何度か実行した後で、ターゲットのモバイル デバイスに配布される場合もあります。 最終目標は、ZeuS がユーザーをだまして「セキュリティー証明書」や銀行との通信を検証するためのその他の手段を装うアプリケーションをデバイスにインストールできるようにすることです。 Zitmo は、インストールが完了すると、こうした mTAN(Mobile Transaction Authentication Number)が記載されていることを期待して、デバイスに送信される SMS メッセージを取得します。
現在、ほとんどのヨーロッパ諸国が認証に mTAN を使用しています。そのため、この攻撃を無益なものにする技術には地域によってばらつきがあります。

W.jxSMSSpy

名前 W.jxSMSSpy
カテゴリー
リリース日付 2010/10/15
更新番号 1

悪意を持ってユーザーをスパイする場合に使用できる市販の盗難防止プログラムです。 デバイスに物理的にアクセスした人によってインストールされます。
「任意の電話を使用して、インストールされたこのソフトウェアを監視できます。 また、盗難防止追跡管理サイトにアップロードされた情報を監視することもできます。」
位置情報、SMS メッセージ、および通話情報を Web サイトに漏洩させます。
アプリケーション メニューに表示されません。
表示されない SMS メッセージによって制御されます。