2017年1月18日
株式会社Doctor Web Pacific
Android.Skyfin.1.originは、スマートフォンやタブレットを感染させるとルートアクセスの取得を試み、悪意のあるプログラムをシステムディレクトリ内に密かにインストールする Android.DownLoaderファミリーに属するトロイの木馬( Android.DownLoader.252.originや Android.DownLoader.255.originなど)によって拡散されているものと考えられます。これらトロイの木馬のコードに Android.Skyfin.1.origin特有のストリングが含まれていたことが、その可能性を高いものにしています。
Android.Skyfin.1.originは起動されると、追加のモジュールである Android.Skyfin.2.originをPlay Storeのプロセス内に挿入します。このモジュールは、モバイルデバイスのユニークなID、ユーザーがGoogleサービスで使用するアカウント、Google Playカタログに接続するための様々な内部認証コード、そしてその他の機密データを盗みます。これらのデータは Android.Skyfin.1.originのメインコンポーネントに送られ、その後、トロイの木馬によってデバイスの技術的情報と共にC&Cサーバーへ送信されます。
Android.Skyfin.1.originは収集したデータを使用してGoogle Play カタログに接続し、Play Storeアプリケーションの動作を模倣します。このトロイの木馬は以下のコマンドを実行することができます:
- /search – ユーザーアクションのシーケンスを模倣するためにカタログ内を検索する
- /purchase – プログラムを購入する
- /commitPurchase – 購入を確認する
- /acceptTos – 使用許諾契約書への同意を確定する
- /delivery – カタログからAPKファイルをダウンロードするためのリンクを要求する
- /addReview /deleteReview /rateReview – レビューを追加、削除、評価する
- /log – インストール数を不正に増やすためにプログラムのダウンロードを許可する
サイバー犯罪者によって指定されたアプリケーションがダウンロードされた後、 Android.Skyfin.1.originはそれらをインストールせずにSDカード上に保存します。そのため、どこからともなく新しいプログラムが現れてユーザーを驚かせるようなことはありません。こうしてトロイの木馬は気付かれることなくデバイス上に残り、Google Playアプリケーションのインストール数を増やし続けることができます。
Doctor Webセキュリティリサーチャーによって、 Android.Skyfin.1.originの複数の亜種が発見されています。そのうちの1つはGoogle Playから「com.op.blinkingcamera」というアプリケーションのみをダウンロードします。このトロイの木馬は「com.op.blinkingcamera」の広告を含んだGoogle AdMobバナーをタップしてAPKファイルをダウンロードし、Googleサーバー上で偽のインストールを確定することでインストール数を自動的に増加させます。 Android.Skyfin.1.originのまた別の亜種は、より一般的なもので、カタログからあらゆるアプリケーションをダウンロードすることができます。そのために、このトロイの木馬はダウンロードするプログラムのリストを備えています。
Dr.WebのAndroid向けアンチウイルスは Android.Skyfin.1.originの既知の亜種を全て検出します。スマートフォンやタブレットのユーザーはデバイス内にこのトロイの木馬がないかどうかを確認することができます。ただし、 Android.Skyfin.1.originはシステムカタログ内にインストールされるため、削除するには、ルートアクセスを持ち、この種の悪意のあるアプリケーションを処理する能力を備えたDr.Web Security Space for Androidを使用する必要があります。