ZIMPERIUM.comによると、
Google純正のシステムアップデートアプリケーション (System Update) になりすまして、データ、メッセージ、画像を盗み、Androidデバイスを制御するマルウェアを発見したそうです。
このマルウェアは、Google Play以外のサイトで見つかりました。
Goolge Play以外のサイトから「System Update」という名前のAndroidアプリケーションをインストールした覚えのある方は、すぐにアンインストールしましょう。別のアプリケーションにバンドルされているケースも想定されます。
アンドロイドアプリケーションは、xxx.apk(拡張子APK)という名前でアップロードされています。
そのマルウェアは、音声、電話の録音、写真の撮影、ブラウザの履歴などにアクセスして個人情報を窃取します。
マルウェアが窃取する情報
アプリ一覧、メニューからアイコンを非表示にしてその存在を隠しつつ、以下の情報を漁ります。- インスタントメッセンジャーのメッセージ
- インスタントメッセンジャーデータベースファイル(root化している場合)
- デフォルトブラウザのブックマークと検索履歴
- Google Chrome、Mozilla Firefox、Samsung InternetBrowserのブックマークと検索履歴
- 特定の拡張子(.pdf、.doc、.docx、.xls、.xlsx)を持つファイル
- クリップボードデータ
- 通知の内容
- オーディオの録音
- 電話の録音
- 定期的に写真を撮ります(フロントまたはバックカメラの両方)
- インストールされているアプリケーションのリスト。
- 画像や動画
- GPS情報
- SMSメッセージ
- 電話の連絡先
- 通話記録
- デバイス情報(インストール済みアプリケーション、デバイス名、ストレージ統計など)
スパイウェアの動作
- デバイス情報がFirebase Command and Control(C&C)に登録される
- WhatsAppの有無、バッテリーの割合、ストレージ統計を調べる
- 電話などの履歴を探す
- 会話をすぐに録音する
- 通話ログを収集する
- 収集したコンテンツを暗号化ZIPファイルに変換する
- ZIPファイルをC&Cサーバーにアップロードする
- アップロードに成功したら端末からZIPファイルを削除する
マルウェアが収集したデータは、Androidデバイスのローカルストレージに格納される。
/data/data/com.update.system.important/files/files/system/FOLDER_NAME
C&C servers
※アクセスしてはいけません。- mypro-b3435.firebaseio.com
- licences.website/backendNew/public/api/
まとめ
今回見つかったスパイウェアは、「システムアップデート(System Update)」アプリケーションを装いながら、被害者をスパイするための様々な悪意ある活動を行います。Firebaseと専用のCommand & Controlサーバーを組み合わせて使用し、コマンドの受信やデータの流出を行うほか、動画や画像のサムネイルを盗み出すという、これまでにあまり見られなかった機能が見られます。
- Google純正システムアプリを騙るマルウェア、「System Update」が見つかった。
- 最新情報だけを収集する。(GPSは5分以内、カメラ撮影は40分以内)
- GPSなどの位置情報を収集する。
- 電話、通話ログ、SMSログなどを収集する。
- デバイスのカメラを利用して定期的に写真撮影を行う。
- 収集したデータは暗号化ZIPに変換して、外部サーバ(C&C)へ送信する。
- C&C送信後はデバイスからファイルを削除する。
たとえば、位置データはGPSまたはネットワークのどちらか新しい方から収集され、この最新の値が過去5分を超えている場合は位置データを再収集します。
デバイスのカメラを使用して撮影した写真は40分以内のものが収集されます。
External link
:SC2
このサイトを検索 | Search this site
0 コメント