Kaspersky Lab は、これまで Windows でのみ確認されていた TOR 匿名ネットワークを採用した Android モバイル オペレーティング システム向けのマルウェアを発見しました。
TOR(The Onion Routerの略)は、ユーザーとウェブサイト間の暗号化されたトラフィックを世界中のサーバーネットワークにルーティングすることで、インターネット閲覧時のプライバシーを強化するソフトウェアです。TORは、非公開ネットワーク上でウェブサイトをホストするためにも使用できます。
カスペルスキーのローマン・ウヌチェク氏は、AndroidマルウェアはTORウェブサイトをコマンド&コントロールサーバーとして利用していると述べている。コマンド&コントロールサーバーは、マルウェアに指示を送るために利用される。
TOR ネットワークを使用する Android 向けのマルウェア プログラムは、携帯電話から SMS やその他の機密データを収集する可能性があります。
デスクトップマルウェアプログラムにTOR機能を追加することは目新しいことではありません。最新の調査結果によると、ハッカーは貴重な個人情報が保存されていることが多い高性能モバイルデバイスをますます標的にしています。このマルウェアはSMSを傍受し、ユーザーの電話番号、デバイスのIMEI、デバイスが所在する国などのデータを収集し、GPS座標を要求することができます。
TOR対応ウェブサイト(現在は閉鎖されたSilk Roadマーケットプレイスなど)は、URLの末尾に「.onion」が付きます。TOR対応ウェブサイトは、ネットワークがサイトの実際のIPアドレスを隠蔽するため追跡が困難であり、どのホスティング会社がTORに対応しているかを特定することが困難です。
ウヌチェク氏は、TORサイトをコマンドアンドコントロールサーバーとして使用すると「シャットダウンが不可能になる」と書いている。
カスペルスキーが「Backdoor.AndroidOS.Torec.a」と呼ぶこのマルウェアは、TORプロジェクトが開発し、Android上でTORを有効にするOrbotというソフトウェアパッケージを使用する。
このマルウェアは、Orbot を装って人々にダウンロードさせようとするのではなく、Orbot クライアントの「機能を単に利用する」だけだと Unuchek 氏は書いている。
マルウェアバイツのマルウェアインテリジェンスチームリーダー、アダム・クジャワ氏は、同社のブログで、このマルウェアは「Slempo」という名称で、「Stoned Cat」と呼ばれるボットネットの一部である可能性があると述べている。マルウェアバイツが確認した広告によると、このボットネットのレンタル費用は前払いで1,000ドル、その後は月額500ドルのサブスクリプション料金がかかるとのことだ。
TOR を使用すると、マルウェアの通信を追跡することが困難になる可能性があるが、モバイル デバイスに負担がかかる。
「モバイル端末のデータ使用量の増加、過剰な電力消費(TOR接続を常時実行すると、間違いなくそうでない場合よりも早くバッテリーが消耗します)、その他の異常な動作に注意することをお勧めします」とクジャワ氏は書いている。
