新たに発見されたトロイの木馬プログラムは、Android のこれまで知られていなかった脆弱性を悪用し、Windows マルウェアの手法を借用して検出を回避し、感染したデバイス上で永続化を実現します。
ウイルス対策企業カスペルスキー研究所のセキュリティ研究者は、この新たな悪意あるアプリケーションを Backdoor.AndroidOS.Obad.a と名付け、これまでで最も洗練された Android 向けトロイの木馬プログラムであると評した。
このマルウェアは、プレミアム料金の番号にSMSメッセージを送信するように設計されており、攻撃者はリモートシェルを開くことで、感染したデバイス上で不正なコマンドを実行できます。攻撃者はこのマルウェアを利用して、侵害したデバイスに保存されているあらゆる種類のデータを盗んだり、ローカルにインストールしたりBluetooth経由で他のデバイスに配布したりできる悪意のあるアプリケーションをダウンロードしたりすることができます。
トロイの木馬プログラム「Obad.a」は、分析を妨害するために暗号化とコードの難読化を多用していると、カスペルスキーの研究員ロマン・ウヌチェク氏が木曜日のブログ投稿で述べた。
知的な虫
「マルウェア作成者は通常、マルウェア対策の専門家の作業を困難にするために、作成したコードを可能な限り複雑にしようとします」と研究者は述べています。「しかし、モバイルマルウェアにおいてOdad.aほど高度な隠蔽技術が見られることは稀です。」
ウヌチェク氏によると、このマルウェアは暗号化やコード難読化技術の使用に加え、Androidやサードパーティ製ソフトウェアのこれまで知られていなかったバグも悪用するという。
たとえば、悪意のあるアプリケーションは、マルウェアアナリストが Android アプリケーション パッケージ (APK) を Java アーカイブ (JAR) ファイルに変換するために使用する DEX2JAR と呼ばれるソフトウェアのエラーを悪用します。
「サイバー犯罪者が発見したこの脆弱性は、DalvikバイトコードからJavaバイトコードへの変換を妨害し、最終的にはトロイの木馬の統計分析を複雑にする」とウヌチェク氏は述べた。
このマルウェアは、AndroidがAndroidManifest.xmlファイルを処理する方法のバグも悪用します。これらのファイルはすべてのアプリケーションに存在し、アプリケーションの構造と起動パラメータに関する情報を含んでいます。
ウヌチェク氏によると、このトロイの木馬プログラムには、Googleの仕様に準拠していない特別に細工されたAndroidManifest.xmlが含まれているものの、Android OSによって正しく処理されるという。そのため、マルウェアの動的解析は極めて困難だとウヌチェク氏は述べた。
Obad.a は初回実行時に、ユーザーにデバイスの管理者権限を求めます。この権限を取得したアプリケーションは、セキュリティ設定メニューの管理者リストから削除されるまで、通常のアプリメニューからアンインストールできなくなります。
Obad.aマルウェアは、Android OSのこれまで知られていなかった脆弱性を悪用し、管理者リストから自身を隠蔽することで、ユーザーが権限を取り消したりアプリをアンインストールしたりできないようにします。「Androidのデバイス管理者脆弱性については、既にGoogleに報告済みです」とウヌチェク氏は述べています。
さらに、ルート化されたデバイスでは、マルウェアは「su id」コマンドを実行してルート権限の取得を試みる、とカスペルスキー研究所のシニアマルウェアアナリスト、デニス・マスレニコフ氏は金曜日のメールで述べた。管理者権限の取得と同様に、ルートアクセスの取得にはユーザーの許可が必要だと同氏は述べた。
「Backdoor.AndroidOS.Obad.a は、その複雑さや、悪用する未公開の脆弱性の数の点で、他の Android トロイの木馬よりも Windows マルウェアに近いようです」とウヌチェク氏は述べた。
この新しいトロイの木馬プログラムはSMSスパムを通じて拡散しますが、現時点ではそれほど広範囲には及んでいません。Kaspersky Labの検出統計によると、Obad.aのインストール試行は、3日間でモバイルデバイスにマルウェア感染を試みた総数のうちわずか0.15%に過ぎませんでした。
とはいえ、マスレニコフ氏は、他のAndroidマルウェアの脅威も、今後、このマルウェアが使用するような高度な手法を採用するだろうと考えている。「同様の手法は、近いうちにさらに広まるだろうと考えています」と彼は述べた。
