1. Android.Bmaster 一般向け情報 1.1 Android.Bmaster の流行情報 Android.Bmaster はアンドロイドの管理アプリケーションに悪性なコードを追加した形で配布されている 見た目は正常なアプリケーションのように動作する アプリケーションは中国語で表記されており 中国のユーザをターゲットにしている考えられる また正規のアンドロイドマーケットから配布されているものではない Android.Bmaster がインストールされると 感染した端末の情報を収集し サーバへ送信し管理されるようになる Symantec 社によると 2011 年 9 月頃より累計で数十万の端末が登録されていることが報告されている (http://www.symantec.com/connect/ blogs/androidbmaster) 1.2 ウイルス概要 今回解析を行ったウイルスの概要を表 1-1 に示す 表 1-1 検体概要表 NO.2011-09 ウイルス名称 Android.Bmaster ウイルス俗称 (2012 年 3 月 22 日 13 時 Antiy Labs 社 Backdoor/AndroidOS.RootSm art 点 ) AVAST Software 社 Android:Rootsmart-A [Trj] BitDefender 社 Android.Trojan.RootSmart.A Quick Heal Android.GGSmart.A Technologies 社 Comodo Security UnclassifiedMalware Solutions 社 Doctor Web Pacific Android.Smart 社 Emsisoft 社 Trojan.AndroidOS.GGSmart! IK F-Secure 社 Trojan-Downloader:Android/ RootSmart.A 1
Fortinet 社 Android/RootSmart.A!tr.dldr G Data Software AG Android.Trojan.RootSmart.A 社 IKARUS Security Trojan.AndroidOS.GGSmart Software 社 ZAO Kaspersky Lab HEUR:Backdoor.AndroidOS. 社 RootSmart.a Microsoft 社 Trojan:AndroidOS/GGSmart. A ESET 社 Android/GGSmart.A Sophos 社 Andr/GGSmart-A Symantec 社 Trojan.Gen.2 TrendMicro 社 AndroidOS_ROOTSMART.A VirusBlokAda 社 Backdoor.AndroidOS.RootSm art.a 起源 2012 年 2 月 3 日 (Symantec 社 ) 発見日 2012 年 3 月 9 日動作環境 Android 端末感染条件 Android 1.5 以上感染経路本アプリケーションがアップロードされているサイトからダウンロードし インストールする タイプトロイの木馬 ダウンローダウイルス概要端末の設定を行う正規のアプリケーションに寄生した形でサードパーティのマーケットから配布される インストールされると別のサーバから root 化 ( 1) を行うためのファイルをダウンロードし 端末の root 化 ( 1) を試みる さらに別のアプリケーションをダウンロードしてインストールを試みる このダウンロードされるアプリケーションは複数の種類が確認されている これらは収集した端末情報の外部サーバへの送信 SMS の送信などを行う 1: ルート化についてルート化とは 主に AndroidOS をプラットフォームとするスマートフォン (Android フォン ) において ルート ( スーパーユーザー / 特別な権限を持ったモード ) の権限でシステムを操作できるようにすることである 通常 スマー 2
トフォンを使用しているユーザは ユーザモード で使用している スマートフォンの root 化を行い ルート権限でシステムを操作できるようになると 製品のメーカー側があらかじめ設けた制限を取り外して 通常は禁止されている設定の変更を行ったり システムなどを書き換えることが可能になったりする ウイルス評価指標 ( 試行中 ) 次頁に評価指標の説明を記す (1) 感染力 (2) 脆弱性悪用力 (3) 自己隠ぺい力 (4) 破壊力 (5) 影響力 (6) 感染拡大力 3
ウイルス評価指標について (1) 感染力 ( 感染のしやすさ ) 実行形式ファイルで 開かなければ感染しないタイプ ファイルを偽装することでファイルを開かせるタイプ ファイルを開く行為をしなくても感染するタイプ (2) 脆弱性悪用力 ( 感染のしやすさ ) 脆弱性を悪用しない 修正プログラムが公開されている脆弱性を悪用する 修正プログラムが未公開の脆弱性を悪用する (3) 自己隠ぺい力 ( 発見のしにくさ ) 何らかの感染を疑うような症状がある 表立った症状は無いがユーティリティの操作等で感染を確認できる ルートキット等の技術が使われており 感染の確認が困難である (4) 破壊力 ( 修復の難しさ ) PC 等の通常利用にほとんど支障が無い 実害はあるが 復旧は困難ではない システムファイルや PC 等内のデータファイルが破壊され 復旧が困難である (5) 影響力 ( 外部への影響の大きさ ) 感染した PC 等から外部に対して何もしない ネットワーク上の他の PC 等に対して DoS 攻撃や spam メール発信等を行う 感染した PC 等から収集した情報を外部に送信または公開する (6) 感染拡大力 ( 外部への影響の大きさ ) 感染機能なし LAN 内の他の PC 等に感染拡大する インターネット上の他の PC 等に感染拡大する さらに詳しい説明は 下記ファイルをご参照下さい http://www.ipa.go.jp/security/virus/report/virus_evaluation_index.pdf 4
(1) 動作概要 Android.Bmaster はインストールされる時 多くのパーミッションを要求する ( 図 1-1) これは 元々のアプリケーションがアンドロイドの管理ツールであるため 必要なパーミッションが多いためであるが 悪質な動作を行うために後からさらに追加されている インストールが完了すると中国語で書かれたアイコンがアプリケーション一覧画面に表示される ( 図 1-2) アンドロイドは英語の設定でも中国語で表示される このことからもこのアプリケーションが中国のユーザをターゲットにしていることが分かる 起動すると中国語の使用許諾書が表示される ( 図 1-3) これは元々のアプリケーションのものである 起動後は管理ツールの画面が表示される ( 図 1-4) 図 1-1 インストール画面 5
図 1-2 アイコン 図 1-3 起動時の画面 6
図 1-4 起動後の画面 アプリケーションが起動した後 画面に表示される機能とは別に悪質な行動が開始される 端末の情報が収集され それらの情報と共にサーバへ送信し端末を登録する その後 端末を root 化するために必要なファイルをサーバからダウンロードする これらを利用して root 化を試みる さらにサーバから別の apk をダウンロードしインストールを行う この apk がさらにサーバと通信を行いながら悪質な行動を行う 想定される被害 (PC 内被害 漏洩情報等 ) Android.Bmaster に感染すると 後から別の apk がダウンロードされインストールされる ダウンロードされる apk は変化するため被害の内容を限定できない 次のような被害が発生する恐れがある 端末の情報や位置情報などの漏洩 ネットワークや SMS の傍受や接続 端末の制御など (2) 事前の回避策アプリケーションのインストールを正規のマーケット以外から行わないようにする 信頼できない配布元のアプリケーションのインストールを行わない 要求されるパーミッションを確認し 信頼できない場合にはインストールを行わない 7
(3) 簡易的な感染判断方法 Android 端末のメニュー上でエラー! 参照元が見つかりません に示すアイコンが表 示されていることを確認する (4) 感染した場合の復旧策 当該アプリをアンインストールする 8