モバイルのセキュリティを専門とするLookoutが今日(米国時間12/29)のブログ記事で、同社が”これまででもっとも高度なAndroid上のマルウェア”と呼ぶトロイの木馬の詳細を報じた。このトロイの木馬は正常なアプリケーションに”寄生する”タイプだが、以下に述べるように、一般ユーザが被害者になる可能性は低い。
問題のトロイの木馬は、中国の特定のAndroidアプリケーション配布サイトにしかなく、それにはAndroidの設定メニューで”Unknown Sources”をonにしないとアクセスできない。大多数のユーザは、AndroidのオフィシャルサイトであるAndroid Marketからアプリケーションをダウンロードしている。そのマルウェアに感染しているアプリケーションは、通常よりも多種類のユーザデータを要求する。それをOKしないとアプリケーションをインストールできないから、勘のいいユーザは異状に気づくだろう。
運悪くそのアプリケーションをインストールしてしまった人に対して、そのトロイの木馬は、Lookoutの信ずるところによれば、次のようなことができる:
Geinimiはサーバと通信してユーザのデバイスに関するデータを送るが、弊社の観察によれば、サーバからそのトロイの木馬にコマンドが来ることはない。Geinimiのコードは目下解析中だが、現在得られている証拠からは次のことができる:
位置情報を送る(詳細な緯度経度情報)
デバイス識別子を送る(IMEIとIMSI)
アプリケーションをダウンロードしユーザにインストールを迫る
ユーザにアプリケーションのアンインストールを迫る
インストールされているアプリケーションを調べ上げそのリストをサーバに送る
Lookoutは、これはこれまでに見つかったマルウェアよりも高度である、なぜなら暗号化とバイトコードの難読化によって本性を隠しているからだ、と言っている。また、ボットネットに応用できる機能を持っている点で、Androidにとっては初めてのタイプのマルウェアだ、と。ただし現状では、そのトロイの木馬と通信しているボットネットサーバは見あたらない:
Geinimiは、Androidにとっては初めての、ボットネットのような能力を示すマルウェアである。このマルウェアがユーザの携帯電話にインストールされると、リモートのサーバがそれにコマンドを送ることによって、その携帯電話をコントロールできるようになる。
なお、Lookoutは携帯電話のセキュリティをビジネスとし、AndroidやBlackBerry、およびWindowsモバイル用のアプリケーションを提供している。したがってこのようなマルウェア情報の開示は、同社の利益となるものである。
[原文へ]
[jpTechCrunch最新記事サムネイル集]
[米TechCrunch最新記事サムネイル集]
(翻訳:iwatani(a.k.a. hiwa))
