【Dr.WEB】Androidを狙った新たなトロイの木馬

Doctor Webは、Androidを標的とする新たなマルウェアの登場についてユーザーの皆様に警告します。このトロイの木馬はアンダーグラウンドでのハッカーフォーラムにて販売されており、正規のアプリケーション内に悪意のあるコードを埋め込むことでデバイス所有者の個人情報を盗み、金銭的被害を与えます。

Android.Dendroid.1.originとしてDr.Webウイルスデータベースに追加されたこのトロイの木馬は、アンダーグラウンドのハッカーフォーラムで購入することのできるリモートアクセス型トロイの木馬(RAT)です。この種類のトロイの木馬は、あらゆるアプリケーション内に埋め込まれることができるために、ユーザーによる発見が困難となっています。このプログラムの設計はDoctor Webのアナリストにはよく知られたマルウェアであるAndroid.Adrorat.1.originのものと非常によく似ています。犯罪者はこのマルウェアに着想を得たものと考えられます。

このマルウェアの主な機能は以下のとおりです。
・SMSをブロック、傍受する
・デバイスのカメラとマイクを起動させる
・ブラウザの履歴とブックマークに関するデータを取得する
・ユーザーのアカウントデータとアドレス帳の情報を盗む
・SMSを送信する
・通話を録音する
・デバイス上に保存されたファイルを入手する
・特定のサイトに対するDDoS攻撃を実行する
・様々なダイアログボックスを表示させる

Android.Dendroid.1.originは、SMSトロイの木馬の機能とスパイ型トロイの木馬の機能を併せ持っています。その上、ダイアログボックスを表示させる機能によって、オンラインバンキングやソーシャルネットワークのサイト上でユーザーにIDを入力させ、それらを盗みます。

Androidユーザーの皆様には、アプリケーションをインストールする際には十分に注意し、疑わしいソフトウェアを使用しないよう推奨します。Dr.Web for Androidによって保護されているデバイスは、この脅威によって被害を受けることはありません。

Dr.Webを使用して、お使いのAndroidを保護しましょう。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=718&lng=ja&c=2

【Dr.WEB】Androidアプリケーションの動作によって損害が発生

Androidファームウェアと共に拡散される悪意のあるプログラムの存在は、情報セキュリティスペシャリストにとっては新しいものではありません。しかし、これらの脅威の駆除は複雑な上に、保証の無効化やデータの破損、デバイス動作の妨害を伴う危険性があります。また、ファームウェアのアップグレードを装ってデバイス上に侵入するのみでなく、新しいデバイスにプリインストールされた形で拡散されることに気を付ける必要があります。後者のパターンが多くのユーザーを悩ませています。

Android.SmsSend.1081.originとしてDr.Webウイルスデータベースに追加された悪意のあるプログラムは、オーディオプレーヤーとしてAndroidファームウェアに組み込まれていました。このオーディオプレーヤーは中国のオンライン音楽サービスにユーザーを登録するために、ユーザーのIMSIを指定された番号へ送信する機能を持っています。しかしその際、デバイスの位置を確認したり、プレーヤーの再生時に送信するメッセージの数を制限したりすることがなく、このバグによって、例えばロシアのユーザーでは1通のSMSにつき5~7ルーブルの損害が発生しています。そのため、当初は便利であると思われていたこのプログラムは次第に望まれないプログラムとなり、ウイルスアナリストによってトロイの木馬として分類されるに至りました。

OSファームウェアに含まれているこのトロイの木馬は決して多く拡散されているわけではありませんが、アプリケーション提供元から配信されている他の多くの悪意のあるプログラムと同様に危険であるということに注意する必要があります。Doctor Webでは、最近発生したそのようなトロイの木馬の拡散について1月に報告しています。このAndroid.Oldboot.1は1月の間に数百万台のモバイルデバイス上で検出されています。このマルウェアは様々なプログラムをインストール・削除する機能をもち、また、その悪意のあるコンポーネントはメモリ内に置かれ、デバイスが起動される度にシステムを感染させます。その後、デバイスのIMEI情報を含んだSMSを特定の番号へ送信する機能を備えたまた別のトロイの木馬がDr.Webウイルスデータベースに追加されました。SMSを送信する標準的なマルウェアの亜種であるこの脅威はDr.Web for AndroidによってAndroid.SmsSend.1067.originとして検出されます。

これらの悪意のあるプログラムの最も危険な点は、それらの持つ機能とは別に、従来の手法では削除することができないという特徴にあります。ユーザーはOS機能およびシステムファイルに対するアクセス権限(ルートアクセス)を取得するか、またはプログラムを含んでいないクリーンなファームウェアを再インストールする必要があります。ファイルシステムの改変を伴うこのような手法は、保証の無効化やデータの損失、デバイスの破損を招く危険性があります。

被害を最小限に防ぐため、疑わしいファームウェアのインストールを避け、未知の提供元からデバイスを購入しないようにすることを推奨します。万一被害に遭ってしまった場合は以下の方法をお試しください。

ファームウェアがデバイスの製造元から提供されたオリジナルのものであるかどうかを確認します。製造元のサポートサービスなどにお問い合わせください。ファームウェアが製造元とは別のサードパーティから提供されたものであった場合、デバイス製造元のOSイメージをインストールしてください。
ご自身でサードパーティ製ファームウェアをインストールし、それにトロイの木馬が含まれていた場合、製造元のファームウェアに切り替えてください。
製造元のファームウェアを使用しているが、それにトロイの木馬が含まれていた場合、製造元に連絡して指示を仰いでください。
十分な技術的知識とスキルをお持ちの場合、ルートアクセスを取得して悪意のあるプログラムをご自身で削除することもできます。ただしこの場合、保証の無効化やデバイスの破損といったリスクを伴うことを理解したうえで行う必要があります。
使用しているファームウェアに悪意のあるプログラムが含まれている場合、その無効化を試みることができます。アプリ管理画面で該当するアプリケーションを選択し「無効にする」をタップします。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=713&lng=ja&c=2

【Dr.WEB】2014年1月のモバイル脅威

Doctor Webでは、昨年に引き続きDr.Web for Androidから収集された統計のモニタリングを行っています。2014年1月にモバイルデバイス上で検出された、望まないプログラムや悪意のあるプログラムは1106万3873件で、その大半がアドウェアでした。

1月の1日~30日にDr.Web for Androidによって検出された望まないプログラムや悪意のあるプログラムは1106万3873件で、1日に平均して約30万件となっています。1月11日の土曜日に最も多い58万9172件が記録され、最も少ない検出数は1月1日の29万3078件でした。

最も多く検出された望まないアプリケーションはAdware.Revmob.1.origin(126万374件)で、Adware.Airpush.7.origin(101万6462件)、Adware.Airpush.21.origin(68万3738件)が続いています。最も多く検出された悪意のあるプログラムは、高額な番号に有料SMSを送信するAndroid.SmsSend.749.originでした。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/?i=709&c=1&lng=ja&p=0

【Dr.WEB】Androidを狙った初のブートキットに35万台が感染

Doctor Webは、Androidを狙った危険なトロイの木馬についてユーザーの皆様に警告します。このトロイの木馬は感染したデバイスのメモリ内に潜み、OS起動の早い段階で自身を起動させてブートキットとして動作します。このことが、トロイの木馬がデバイスのファイルシステムを改変する前に削除される可能性を非常に低くしています。

現時点で、スペイン、イタリア、ドイツ、ロシア、ブラジル、アメリカ、および東南アジア数か国を含む様々な国で35万台のモバイルデバイスが感染しています。

Android.Oldboot.1としてDr.Webウイルスデータベースに追加されたこのトロイの木馬を拡散させるために、犯罪者は珍しい手法を用いています。

トロイの木馬のコンポーネントの1つをファイルシステムのブートセクター内に置き、OSコンポーネントを起動するためのinitスクリプトを改変するというものです。


モバイルデバイスが起動されると、このスクリプトによって悪意のあるLinuxライブラリimei_chk(Dr.Web Anti-virusによってAndroid.Oldboot.1として検出されます)が起動され、このimei_chkがlibgooglekernel.so (Android.Oldboot.2)ファイルとGoogleKernel.apk(Android.Oldboot.1.origin)ファイルを抜き取り、それぞれ/system/libおよび/system/appに置きます。

こうして、トロイの木馬Android.Oldbootの一部がAndroidアプリケーションとしてインストールされてシステムサービスとして動作し、その後、libgooglekernel.soライブラリを使用してリモートサーバーに接続し、様々なコマンド(特定のアプリケーションをダウンロード・インストール・削除するなど)を受け取ります。

犯罪者は、トロイの木馬の動作に必要なルーチンを含むよう改変したファームウェアをデバイス上にインストールしていると考えられます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/?i=705&c=1&lng=ja&p=0

Android端末への感染を試みるWindowsマルウェア、シマンテックが注意喚起

 株式会社シマンテックは24日、Androidデバイスへの感染を試みるWindowsマルウェアが確認されたとして、公式ブログで注意を呼び掛けた。  発見されたのは、PCに感染する「Trojan.Droidpak」という名称のトロイの木馬。感染するとPCに悪質なシステムサービスを登録するとともに、Android Debug Bridge(ADB)などのツールをインストールし、USB接続したAndroid端末に悪質なAPK(アプリ)をインストールする。  インストールは成功するまで何度も試行される。また、インストールが成功するにはAndroid端末側でUSBデバッグモードが有効になっている必要がある。  この悪質なアプリは「Android.Fakebank.B」の亜種で、「Google App Store」という名称のアプリに偽装している。アプリの実際の挙動は、侵入先のデバイス上で韓国の特定のオンラインバンキング用アプリを探し、アプリが見つかった場合にはユーザーにそれを削除して悪質なバージョンをインストールするよう求める。また、侵入先のデバイスでSMSメッセージを傍受して、外部のサーバーに送信する。  シマンテックでは、こうした新しい感染経路による被害に遭わないための対策として、AndroidデバイスでUSBデバッグを使わない場合は機能を無効にしておくことや、信頼できないPCにモバイルデバイスを接続する場合には注意すること、ノートンモバイルセキュリティなど信頼できるセキュリティソフトをインストールすることを挙げている。 【ニュースソース】InternetWatch http://internet.watch.impress.co.jp/docs/news/20140127_632587.html

「Sleipnir Mobile for Android」に位置情報漏えいの脆弱性、アップデートを

ウェブブラウザー「Sleipnir Mobile」のAndroid版アプリに位置情報が漏えいする脆弱性があることを、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が22日、公表した。最新バージョンで修正されており、ユーザーに対してアップデートするよう呼び掛けている。

 この脆弱性は、同アプリのGeolocation APIの取り扱いに問題があり、ユーザーの確認なしに、閲覧中のウェブサイトに対して位置情報が送信される可能性があるというもの。無料の「Sleipnir Mobile for Android」および有料版の「Sleipnir Mobile for Android Black Edition」のバージョン2.12.1以前が影響を受ける。脆弱性が修正された最新バージョンは「2.12.2」。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140122_631931.html

IPAがAndroidのJava脆弱性を公表、一部端末が未対処

独立行政法人情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンターは、AndroidにおけるJavaの脆弱性を公表した。対象となる端末のほとんどはソフトウェア更新で対処されているが、一部未対処の端末も残っている。

 脆弱性の概要は、Androidの標準ブラウザやWebViewクラスを利用するアプリにおいて、細工されたWebサイトを閲覧した際に、ユーザーの意図に反してAndroidの機能を起動されたり、任意のコードを実行されたりする可能性があるというもの。AndroidにJavaのメソッドが実行される脆弱性が存在しているのが原因で、対象のバージョンはAndroid 3.0~4.1.xとなっている。

 脆弱性情報は2012年9月18日にIPAが受理し、JPCERTがメーカーと調整し、今回の公表に至っている。今回公表の脆弱性に対しては、各キャリアがソフトウェア更新で修正・対処しているが、KDDIの「HTC EVO 3D ISW12HT」「URBANO PROGRESSO」「MOTOROLA RAZR IS12M」「MOTOROLA XOOM TBi11M」の4機種は未対処のまま。ソフトウェア更新の提供を検討中という状態で、利用を継続するには注意が必要。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131217_628046.html

Dr.WEB、2013年10月のモバイル脅威

Doctor Webでは2013年より新しいシステムを導入し、Android搭載のモバイルデバイスを狙った悪意のあるアプリケーションに関する統計情報を収集しています。10月に収集されたデータの解析結果から、9月にはDr.Web for Androidのファイルモニターによって1100万件を超える脅威が検出され、ユーザーによるスキャンでは400万件を超えるマルウェアが検出されていることが明らかになりました。

Doctor Webのアナリストによると、2013年10月1~31日の間にDr.Web for Androidスキャナーがユーザーによって起動された回数はおよそ2300万回でした。ファイルモニターがマルウェアおよび望ましくないアプリケーションを検出した回数は9月の1150万回をやや上回る1184万671回となり、ユーザーによるスキャンでは9月とほぼ同じ447万6437件の脅威が検出されていました。

Dr.Web for Androidファイルモニターによって検出された悪意のあるプログラムの数が最も多かった国はロシア(391万4680件)、次いでサウジアラビア(161万2518件)、イラク(160万8631件)となっています。詳細については以下の表をご覧ください。

1. Russia 3 914 680
2. Saudi Arabia 1 612 518
3. Iraq 1 608 631
4. Ukraine 668 589
5. Kazakhstan 583 072
6. Turkey 538 370
7. Oman 231 933
8. Belarus 224 807
9. India 171 682
10. Iran 136 050

ロシア、サウジアラビア、イラクはまた、スキャナーによって検出されたマルウェアの数が最も多かった国でもあります。

1. Russia 1 186 227
2. Saudi Arabia 789 091
3. Iraq 599 592
4. Ukraine 148 359
5. Turkey 147 712
6. Malaysia 130 543
7. India 129 248
8. Kazakhstan 103 009
9. Iran 85 841
10. Thailand 85 517

最も感染件数の多かった都市は、モスクワ、リヤド、バグダード、ジッダ、キエフ、サンクトペテルブルク、ロストフ・ナ・ドヌ、エカテリンブルクでした。

全体として、モバイルデバイスは依然としてウイルス開発者の格好の的であり、Androidモバイルデバイスに対する脅威は着実に増加を続けていることが分かります。また、その標的としてはロシアおよびその旧独立国家共同体(CIS)が最も多いことが見て取れます。

脅威からの保護には、全ての機能をご利用いただける有償版Dr.Web for Androidの使用を推奨します。

Doctor Webでは、今後もAndroidを狙った脅威に関する状況を注意深く監視していきます。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=684&lng=ja&c=2

Dr.WEB、脆弱性を悪用してアンチウイルスから逃れる新たなAndroid向けトロイの木馬

Doctor Webは、韓国のAndroidユーザーから個人情報を盗む新たなトロイの木馬についてユーザーの皆様に警告します。このトロイの木馬の主な機能はAndroidを狙うその他のトロイの木馬と同様ですが、Androidの脆弱性を悪用してアンチウイルススキャンから逃れることが出来るという点で、ユーザーにとってより危険なものとなっています。現時点では、このトロイの木馬は韓国で拡散されていますが、今後その亜種が他の国でも拡散されるようになる可能性は否定できません。

Dr.WebによってAndroid.Spy.40.originと名付けられたこの新たなトロイの木馬は、apkファイルへのリンクを含んだ望まないSMSによって拡散されています。この手法は、Androidマルウェアの拡散方法として東南アジア(主に韓国、日本)で現在最もよく使用されているものです。Android.Spy.40.originはインストールされた後に起動されるとデバイス管理者機能へのアクセス権限を要求し、ホーム画面からそのアイコンを削除しますが、システム内では密かに動作を続けます。

次にトロイの木馬はリモートサーバーに接続し、指示を待ちます。Android.Spy.40.originの実行する主なタスクには以下のものがあります。

・受信するSMSを傍受し、それらをサーバーに送信する(メッセージはユーザーから隠されます)
・通話の発信をブロック
・アドレス帳やインストールされたアプリケーションのリストをサーバーに送信
・受け取ったコマンドで指定されたアプリケーションを削除またはインストール
・コマンド内で設定されたテキストのSMSを特定の番号に送信

Android.Spy.40.originは、個人情報、個人的なやり取りやビジネスでのやり取り、銀行アカウント情報、オンラインバンキングの取引認証に使用されるmTANコードを含んだメッセージを傍受することが可能であるため、非常に危険なプログラムであると言えます。

しかしAndroid.Spy.40.originの最も特徴的な機能は、アンチウイルスから逃れるためにAndroidの脆弱性を悪用するというものです。マルウェアを隠すために犯罪者はこのトロイの木馬のapkファイルを改変しています(apkファイルは異なる拡張子を持った標準的なzipアーカイブです)。

zipファイルのフォーマットでは、各ファイルのアーカイブヘッダには「汎用目的のビットフラグ」フィールドが含まれており、0が設定されていればアーカイブ内のファイルが暗号化されている(パスワード保護されている)ことを表します。従って、パスワードが設定されていない場合でも、フィールドに1が設定されていればファイルは暗号化されていると判断されます。

通常であれば、そのようなzipファイルを解凍しようとすると、上の画像のようにパスワードを入力する画面が表示されますが、Androidの脆弱性によって0ビットが無視されるため、プログラムのインストールを許可してしまいます。一方で、アンチウイルスプログラムは「汎用目的のビットフラグ」フィールドを正しく処理します。そのため、例えapkファイル内に含まれた悪意のあるファイルがウイルスデータベースに追加されているものであったとしても、ファイルはパスワード保護されておりスキャンの必要がないと判断されます。

Doctor Webでは迅速にDr.Web for Androidの改良を行い、前述の脆弱性を悪用するマルウェアの検出を可能にしました。その一方でAndroidユーザーの皆様には警戒を怠らず、疑わしいアプリケーションをインストールしたり、心当たりのないSMSに含まれたリンクをクリックしたりすることのないよう強く推奨します。

【ニュースソース】Dr.WEB
http://news.drweb.co.jp/show/?i=680&lng=ja&c=2

「iOS 7.0.3」公開、iCloudキーチェーンなどの機能追加、脆弱性の修正も

米Appleは22日、iOSの最新版となる「iOS 7.0.3」を公開した。

 iOS 7.0.3では、承認済みのデバイス間でアカウント名やパスワード、クレジットカード番号を共有するためのiCloudキーチェーンに対応。Safariには、推測困難な独自のパスワードを提案するパスワードジェネレーター機能を追加した。

 また、Touch IDが使用中の場合には"スライドでロック解除"の表示を遅らせるようロック画面を変更したほか、一部のユーザーにiMessageを送信できない問題や、iWorkアプリの安定性向上など、複数の問題の修正や改善を行っている。

 セキュリティ面では、パスコードロックの回避が可能な脆弱性など、合計3件の脆弱性を修正している。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20131023_620548.html