ルート権限を取得して悪意のある活動を実行するAndroidトロイの木馬

2015年4月21日

株式会社Doctor Web Pacific

Doctor Webはデバイスを標的とする危険なトロイの木馬の発見についてユーザーの皆様に警告します。このマルウェアは犯罪者のコマンドに従って密かにアプリケーションをダウンロード、インストールまたは削除するためにルート権限の取得を試みます。感染させたモバイルデバイスに関する情報を収集してウイルス開発者に送信するほか、迷惑な広告を表示させる機能を備えています。

Android.Toorch.1.originと名付けられた新たなマルウェアはトーチアプリケーション内に組み込まれ、ソフトウェアをダウンロードするためのポピュラーなサイトから拡散されます。

このマルウェアは様々なアプリケーションに埋め込まれた攻撃的な広告モジュールによってダウンロードされます。その後Android.Toorch.1.originがデバイスを感染させるのは、それらがユーザー自身によってインストールされた場合のみに限られますが、正規アプリケーションを装って拡散されていることからその確率は非常に高いものになっています。 Android.Toorch.1.originの動作は通常のトーチアプリケーションとなんら変わるところがなく、ユーザーが異変に気が付くことはありません。

このトロイの木馬は起動されるとC&Cサーバーとの接続を確立し、感染したデバイスに関する次の情報を送信します：

• 現在時間
• 現在位置
• IMEI
• トロイの木馬によって生成されたデバイスのユニークなID
• トロイの木馬のバージョン
• ルートアクセスの使用可否
• アクティブなWi-Fi接続の有無
• OSバージョン
• 現在のシステム言語
• デバイスのモデルおよびメーカー
• トロイの木馬のパッケージ名
• ネットワーク接続の種類

同時にAndroid.Toorch.1.originは犯罪者によって改変されたcom.apkol.rootパッケージを使用してルート権限の取得を試み、成功した場合は自身のプログラムパッケージからNetworkProvider.apkアプリケーション（Android.Toorch.1.originとして検出されます）を抽出してシステムディレクトリ/system/appにインストールします。続けてアプリケーションに対応するシステムサービスを起動させます。NetworkProvider.apkのいくつかのバージョンには追加のモジュールGDataAdapterが含まれていますが、このモジュールも同様にシステムディレクトリ内に置かれ、NetworkProvider.apkの継続的な動作を維持し必要に応じて再起動させる機能を担っています。

NetworkProvider.apkプログラムにはAndroid.Toorch.2.originとしてDr.Web ウイルスデータベースに追加された、 Android.Toorch.1.originのまた別のコンポーネントが含まれています。Android.Toorch.2.originはDexClassLoaderクラスを利用してRAM内にロードされ、起動されるとC&Cサーバーから設定ファイルを受け取り、ファイル内で指定されたコマンドに従って悪意のある活動を実行します。中でも特に、起動に成功したことを知らせるシグナルを犯罪者に送り、自身のアップデートを実行し、感染させたデバイスおよびインストールされているアプリケーションに関する詳細な情報（GPS位置情報を含む）をリモートC&Cサーバーにアップロードします。このモジュールの主要な機能は犯罪者のコマンドに従ってアプリケーションを密かにダウンロード、インストールまたは削除するというものです。トロイの木馬はルート権限を取得しているため、これらの動作はすべてユーザーの操作なしに実行されます。

Android.Toorch.1.originには広告プラットフォームであるAdware.Avazu.1.originが組み込まれ、ユーザーが新しいアプリケーションをインストールする度に感染したデバイスのスクリーン上に広告を表示させます。このトロイの木馬の別の亜種では、このモジュールはGoogleSettings.apkコンポーネント（NetworkProvider.apkモジュールと同じ機能を持ちます）に組み込まれた個別のアプリケーションとしてインストールされることもあります。

Android.Toorch.1.originはAndroid向けのDr.Webアンチウイルスソフトウェアによるクイックスキャンではスキャンされないシステムディレクトリ内に悪意のあるモジュールをインストールすることから、非常に危険なトロイの木馬となっています。悪意のあるトーチアプリケーションが削除された後であっても、インストールされたコンポーネントはシステム内に残り悪意のある活動を実行し続けます。そのため、Android.Toorch.1.originが検出された後はモバイルデバイスのフルスキャンを実行することが極めて重要です。

Doctor Webセキュリティリサーチャーによって、このトロイの木馬に感染してしまったモバイルデバイスから全ての悪意のあるコンポーネントを削除する特別なユーティリティが開発されました。感染してしまったスマートフォンやタブレットを修復するにはユーティリティをダウンロード、インストールして実行し、画面上の指示に従って操作を行ってください。トロイの木馬がデバイスから削除されるに伴いルート権限も放棄されるため、感染前にルート権限を持っていた場合は再取得の必要が生じる場合があります。