「System Update」を騙る高度なAndroidマルウェアが発見される！

Atom | RSS

このサイトを検索 | Search this site

ZIMPERIUM.comによると、

Google純正のシステムアップデートアプリケーション (System Update) になりすまして、データ、メッセージ、画像を盗み、Androidデバイスを制御するマルウェアを発見したそうです。

このマルウェアは、Google Play以外のサイトで見つかりました。

Goolge Play以外のサイトから「System Update」という名前のAndroidアプリケーションをインストールした覚えのある方は、すぐにアンインストールしましょう。別のアプリケーションにバンドルされているケースも想定されます。

アンドロイドアプリケーションは、xxx.apk（拡張子APK）という名前でアップロードされています。

そのマルウェアは、音声、電話の録音、写真の撮影、ブラウザの履歴などにアクセスして個人情報を窃取します。

マルウェアが窃取する情報

アプリ一覧、メニューからアイコンを非表示にしてその存在を隠しつつ、以下の情報を漁ります。

1. インスタントメッセンジャーのメッセージ
2. インスタントメッセンジャーデータベースファイル（root化している場合）
3. デフォルトブラウザのブックマークと検索履歴
4. Google Chrome、Mozilla Firefox、Samsung InternetBrowserのブックマークと検索履歴
5. 特定の拡張子（.pdf、.doc、.docx、.xls、.xlsx）を持つファイル
6. クリップボードデータ
7. 通知の内容
8. オーディオの録音
9. 電話の録音
10. 定期的に写真を撮ります（フロントまたはバックカメラの両方）
11. インストールされているアプリケーションのリスト。
12. 画像や動画
13. GPS情報
14. SMSメッセージ
15. 電話の連絡先
16. 通話記録
17. デバイス情報（インストール済みアプリケーション、デバイス名、ストレージ統計など）

スパイウェアの動作

1. デバイス情報がFirebase Command and Control（C＆C）に登録される
2. WhatsAppの有無、バッテリーの割合、ストレージ統計を調べる
3. 電話などの履歴を探す
4. 会話をすぐに録音する
5. 通話ログを収集する
6. 収集したコンテンツを暗号化ZIPファイルに変換する
7. ZIPファイルをC＆Cサーバーにアップロードする
8. アップロードに成功したら端末からZIPファイルを削除する

マルウェアが収集したデータは、Androidデバイスのローカルストレージに格納される。

/data/data/com.update.system.important/files/files/system/FOLDER_NAME

C＆C servers

※アクセスしてはいけません。

1. mypro-b3435.firebaseio.com
2. licences.website/backendNew/public/api/

まとめ

今回見つかったスパイウェアは、「システムアップデート（System Update）」アプリケーションを装いながら、被害者をスパイするための様々な悪意ある活動を行います。

Firebaseと専用のCommand ＆ Controlサーバーを組み合わせて使用し、コマンドの受信やデータの流出を行うほか、動画や画像のサムネイルを盗み出すという、これまでにあまり見られなかった機能が見られます。

• Google純正システムアプリを騙るマルウェア、「System Update」が見つかった。
• 最新情報だけを収集する。（GPSは5分以内、カメラ撮影は40分以内）
• GPSなどの位置情報を収集する。
• 電話、通話ログ、SMSログなどを収集する。
• デバイスのカメラを利用して定期的に写真撮影を行う。
• 収集したデータは暗号化ZIPに変換して、外部サーバ（C＆C）へ送信する。
• C＆C送信後はデバイスからファイルを削除する。

たとえば、位置データはGPSまたはネットワークのどちらか新しい方から収集され、この最新の値が過去5分を超えている場合は位置データを再収集します。

デバイスのカメラを使用して撮影した写真は40分以内のものが収集されます。

 External link

• New Advanced Android Malware Posing as “System Update”

：SC2

このサイトを検索 | Search this site