「System Update」を騙る高度なAndroidマルウェアが発見される！

Atom | RSS

このサイトを検索 | Search this site

「System Update」を騙る高度なAndroidマルウェアが発見される！

ZIMPERIUM.comによると、

Google純正のシステムアップデートアプリケーション (System Update) になりすまして、データ、メッセージ、画像を盗み、Androidデバイスを制御するマルウェアを発見したそうです。

このマルウェアは、Google Play以外のサイトで見つかりました。

Goolge Play以外のサイトから「System Update」という名前のAndroidアプリケーションをインストールした覚えのある方は、すぐにアンインストールしましょう。別のアプリケーションにバンドルされているケースも想定されます。

アンドロイドアプリケーションは、xxx.apk（拡張子APK）という名前でアップロードされています。

そのマルウェアは、音声、電話の録音、写真の撮影、ブラウザの履歴などにアクセスして個人情報を窃取します。

目次[表示]

• 1.マルウェアが窃取する情報
• 2.スパイウェアの動作
  • 2.1.C＆C servers
• 3.まとめ

マルウェアが窃取する情報

アプリ一覧、メニューからアイコンを非表示にしてその存在を隠しつつ、以下の情報を漁ります。

1. インスタントメッセンジャーのメッセージ
2. インスタントメッセンジャーデータベースファイル（root化している場合）
3. デフォルトブラウザのブックマークと検索履歴
4. Google Chrome、Mozilla Firefox、Samsung InternetBrowserのブックマークと検索履歴
5. 特定の拡張子（.pdf、.doc、.docx、.xls、.xlsx）を持つファイル
6. クリップボードデータ
7. 通知の内容
8. オーディオの録音
9. 電話の録音
10. 定期的に写真を撮ります（フロントまたはバックカメラの両方）
11. インストールされているアプリケーションのリスト。
12. 画像や動画
13. GPS情報
14. SMSメッセージ
15. 電話の連絡先
16. 通話記録
17. デバイス情報（インストール済みアプリケーション、デバイス名、ストレージ統計など）

スパイウェアの動作

1. デバイス情報がFirebase Command and Control（C＆C）に登録される
2. WhatsAppの有無、バッテリーの割合、ストレージ統計を調べる
3. 電話などの履歴を探す
4. 会話をすぐに録音する
5. 通話ログを収集する
6. 収集したコンテンツを暗号化ZIPファイルに変換する
7. ZIPファイルをC＆Cサーバーにアップロードする
8. アップロードに成功したら端末からZIPファイルを削除する

マルウェアが収集したデータは、Androidデバイスのローカルストレージに格納される。

/data/data/com.update.system.important/files/files/system/FOLDER_NAME

C＆C servers

※アクセスしてはいけません。

1. mypro-b3435.firebaseio.com
2. licences.website/backendNew/public/api/

まとめ

今回見つかったスパイウェアは、「システムアップデート（System Update）」アプリケーションを装いながら、被害者をスパイするための様々な悪意ある活動を行います。

Firebaseと専用のCommand ＆ Controlサーバーを組み合わせて使用し、コマンドの受信やデータの流出を行うほか、動画や画像のサムネイルを盗み出すという、これまでにあまり見られなかった機能が見られます。

• Google純正システムアプリを騙るマルウェア、「System Update」が見つかった。
• 最新情報だけを収集する。（GPSは5分以内、カメラ撮影は40分以内）
• GPSなどの位置情報を収集する。
• 電話、通話ログ、SMSログなどを収集する。
• デバイスのカメラを利用して定期的に写真撮影を行う。
• 収集したデータは暗号化ZIPに変換して、外部サーバ（C＆C）へ送信する。
• C＆C送信後はデバイスからファイルを削除する。

たとえば、位置データはGPSまたはネットワークのどちらか新しい方から収集され、この最新の値が過去5分を超えている場合は位置データを再収集します。

デバイスのカメラを使用して撮影した写真は40分以内のものが収集されます。

 External link

• New Advanced Android Malware Posing as “System Update”

spy の記事 (Articles about the spy)

1. ドッペルゲンガードメインの被害に遭わないための方法
2. 【スパイ】EagleGetのスパイ機能をチェック！
3. EagleGet 怪しいレジストリ eagleGet.sys、EGMonitor.exe
4. 【スパイ大盛り】5KPLAYER.com のソフトウェア...！？
5. 【スパイ大盛り】EagleGet インストール時はオプションチェックに注意
6. 【スパイ大盛り】EagleGet スパイモジュール
7. 【スパイ】Wondershare Playerの痕跡を削除する方法
8. Free Audio Converter 無断でサービス登録するソフトウェア発見
9. 【BAN】Nano Adblocker and Nano Defender (スパイウェア化)
10. EagleGet スパイ機能削除バッチファイル（BAT）
11. spy ラベルの記事（要約付）
12. セキュリティ が含まれる記事（要約付）

新着順 (New arrival order)

1. 【2024年度総括】藤井七冠(最優秀棋士)、羽生九段現役続行と会長退任を表明
2. 【バグ】TVerRec 3.4.2 のリネーム処理不具合とその原因を考察
3. 【恐怖】ポンジスキームとは？歴史から学ぶ詐欺の仕組み
4. 【終息】TVerRec 3.3.9（暫定）で機能制限ほぼ解除、3.4.0リリース！
5. 【緊急】TVerRec 3.3.6緊急リリース！仕様変更に暫定対応
6. 【未解決】TVerRecダウンロード不具合！TVerの仕様変更かも？
7. 【昇級／降級】全棋士ランキング確定、伊藤匠叡王B1へ昇級、羽生九段B2へ降級
8. 【将棋】なぜ藤井聡太は人々を魅了するのか？【2024年度振り返り】
9. 【更新】Lhaz 2.5.4リリース！法人利用が有料化へ
10. 【Pixel 3月／2025】カメラ、WebView 、Bluetooth、電話のバグ修正【Android 15】

タイトル：「System Update」を騙る高度なAndroidマルウェアが発見される！：SC2

このサイトを検索 | Search this site