
「System Update」を騙る高度なAndroidマルウェアが発見される!
ZIMPERIUM.comによると、
Google純正のシステムアップデートアプリケーション (System Update) になりすまして、データ、メッセージ、画像を盗み、Androidデバイスを制御するマルウェアを発見したそうです。
このマルウェアは、Google Play以外のサイトで見つかりました。
Goolge Play以外のサイトから「System Update」という名前のAndroidアプリケーションをインストールした覚えのある方は、すぐにアンインストールしましょう。別のアプリケーションにバンドルされているケースも想定されます。
アンドロイドアプリケーションは、xxx.apk(拡張子APK)という名前でアップロードされています。
そのマルウェアは、音声、電話の録音、写真の撮影、ブラウザの履歴などにアクセスして個人情報を窃取します。
マルウェアが窃取する情報
アプリ一覧、メニューからアイコンを非表示にしてその存在を隠しつつ、以下の情報を漁ります。- インスタントメッセンジャーのメッセージ
- インスタントメッセンジャーデータベースファイル(root化している場合)
- デフォルトブラウザのブックマークと検索履歴
- Google Chrome、Mozilla Firefox、Samsung InternetBrowserのブックマークと検索履歴
- 特定の拡張子(.pdf、.doc、.docx、.xls、.xlsx)を持つファイル
- クリップボードデータ
- 通知の内容
- オーディオの録音
- 電話の録音
- 定期的に写真を撮ります(フロントまたはバックカメラの両方)
- インストールされているアプリケーションのリスト。
- 画像や動画
- GPS情報
- SMSメッセージ
- 電話の連絡先
- 通話記録
- デバイス情報(インストール済みアプリケーション、デバイス名、ストレージ統計など)
スパイウェアの動作
- デバイス情報がFirebase Command and Control(C&C)に登録される
- WhatsAppの有無、バッテリーの割合、ストレージ統計を調べる
- 電話などの履歴を探す
- 会話をすぐに録音する
- 通話ログを収集する
- 収集したコンテンツを暗号化ZIPファイルに変換する
- ZIPファイルをC&Cサーバーにアップロードする
- アップロードに成功したら端末からZIPファイルを削除する
マルウェアが収集したデータは、Androidデバイスのローカルストレージに格納される。
/data/data/com.update.system.important/files/files/system/FOLDER_NAME
C&C servers
※アクセスしてはいけません。- mypro-b3435.firebaseio.com
- licences.website/backendNew/public/api/
まとめ
今回見つかったスパイウェアは、「システムアップデート(System Update)」アプリケーションを装いながら、被害者をスパイするための様々な悪意ある活動を行います。Firebaseと専用のCommand & Controlサーバーを組み合わせて使用し、コマンドの受信やデータの流出を行うほか、動画や画像のサムネイルを盗み出すという、これまでにあまり見られなかった機能が見られます。
- Google純正システムアプリを騙るマルウェア、「System Update」が見つかった。
- 最新情報だけを収集する。(GPSは5分以内、カメラ撮影は40分以内)
- GPSなどの位置情報を収集する。
- 電話、通話ログ、SMSログなどを収集する。
- デバイスのカメラを利用して定期的に写真撮影を行う。
- 収集したデータは暗号化ZIPに変換して、外部サーバ(C&C)へ送信する。
- C&C送信後はデバイスからファイルを削除する。
たとえば、位置データはGPSまたはネットワークのどちらか新しい方から収集され、この最新の値が過去5分を超えている場合は位置データを再収集します。
デバイスのカメラを使用して撮影した写真は40分以内のものが収集されます。
External link
セキュリティ の記事 (Articles about the セキュリティ)
- 郵便の誤配達、正しい対処方法
- Anti-WebMinor ビットコインなどのマイニングスクリプトを遮断
- イオンの機密をセブンに流してダイヤモンドで公開!?
- マイクロソフト、Windows 11以降でTLS 1.0/1.1 をデフォルトで無効に
- 「System Update」を騙る高度なAndroidマルウェアが発見される!
- マルウェアEmotetの検知と駆除
- 「Yahoo!スコア」2020年8月31日をもってサービス終了!
- 「Yahoo!スコア」が売買目的で作成する個人情報の提供を停止する方法
- dアカウントから身に覚えのないセキュリティコードを受信した時は!?
- ルートDNSの暗号鍵の更改は2018-10-12日 (ルートゾーンKSK)
- セキュリティ ラベルの記事(要約付)
- セキュリティ が含まれる記事(要約付)
新着順 (New arrival order)
- 【2024年度総括】藤井七冠(最優秀棋士)、羽生九段現役続行と会長退任を表明
- 【バグ】TVerRec 3.4.2 のリネーム処理不具合とその原因を考察
- 【恐怖】ポンジスキームとは?歴史から学ぶ詐欺の仕組み
- 【終息】TVerRec 3.3.9(暫定)で機能制限ほぼ解除、3.4.0リリース!
- 【緊急】TVerRec 3.3.6緊急リリース!仕様変更に暫定対応
- 【未解決】TVerRecダウンロード不具合!TVerの仕様変更かも?
- 【昇級/降級】全棋士ランキング確定、伊藤匠叡王B1へ昇級、羽生九段B2へ降級
- 【将棋】なぜ藤井聡太は人々を魅了するのか?【2024年度振り返り】
- 【更新】Lhaz 2.5.4リリース!法人利用が有料化へ
- 【Pixel 3月/2025】カメラ、WebView 、Bluetooth、電話のバグ修正【Android 15】
タイトル:「System Update」を騙る高度なAndroidマルウェアが発見される!:SC2
このサイトを検索 | Search this site
0 コメント