涔愯儢浠ｈ喘鍏嶄唬鐞嗙増

by¨スレットソリュ〖ションチ〖ム

ダウンロ〖ド¨2012钳布染袋の都耙レポ〖ト

2013钳02奉05泣17:21

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

2012钳布染袋に、叉」が庙罢を妥したことは部だったろうか々この剂啼の批えは、碰家の2012钳布染袋の都耙レポ〖トの面にある。2012钳7×12奉に誊にした脚妥な祸凤は、ほぼすべてまとめられている。パスワ〖ドおよび措度牡鼠についての没い淡祸で督蹋を簧枫し、鲁いて笆布の尸填のケ〖ススタディに败っていく。

  • ボット
  •  ZeroAccess
  •  Zeus
  • エクスプロイト
  •  Web
  • マルチプラットフォ〖ムの苟封
  • モバイル

　コピ〖はここからダウンロ〖ドできる。

柠赖∈2013钳2奉8泣∷¨2012钳布染袋の都耙レポ〖トが构糠され、ZeroAccessの淡祸の淡揭が肌のように恃构となった。≈A successful installation in the United States will net the highest payout, with the gang willing to pay USD 500 to 1,000 per installation in that location.∈条庙¨势柜柒でインスト〖ルされるごとに500×1,000势ドルを毁失う脱罢があるギャングのおかげで、票柜で俭萨よくインスト〖ルされたことにより、呵光の毁失驰を淡峡した。∷∽という矢を≈[...] to pay USD 500 per 1,000 installations in that location.∈条庙¨势柜柒で1,000ヶ疥にインスト〖ルされるごとに500势ドルを毁失う脱罢があるギャングのおかげで、×∷∽のように柠赖した。

′′付矢へのリンク

Mac Revirに糠啊硷を券斧

2012钳11奉14泣18:00

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　Macマルウェアの啊硷の鼠桂がある。叉」は票苟封に丹づいており、エフセキュアのカスタマはすでに瘦割されている。それはRevir.Cのマイナ〖な啊硷だ。ペイロ〖ドについては、答塑弄に叉」が9奉に今いたImuler啊硷と票办だ。おそらくは、浮叫を闰ける誊弄で猖恃されたのだろう。毋によって票苟封は、チベットの客涪宠瓢踩を筛弄にしている。

　できれば叉」の叹疚で、厂さんが寒宛していないと紊いのだが。バックドアペイロ〖ドはImulerと钙ばれているが、叉」はドロッパコンポ〖ネントをRevirとして浮叫している。これは叉」が候钳呵介に票ファミリを券斧した狠、ドロッパは戮のマルウェアをペイロ〖ドとするためにカスタマイズされるかもしれないと雇えたためだ。しかしこれまでのところ、RevirとImulerは撅に票箕に蝗われている。

　叉」は、糠しい啊硷を浮叫するため、候泣からデ〖タベ〖スをアップデ〖トした。

　豺棱もオンラインに非很されている。拒嘿はそちらをご枉暮きたい¨

• Trojan-Dropper:OSX/Revir.D (MD5: 2d84bfbae1f1b7ab0fc1ca9dd372d35e)
• Backdoor:OSX/Imuler.B (MD5: 9ccc685f4d95403848ca24d9b8003b5b)

′′付矢へのリンク

Q3 2012モバイル都耙鼠桂を给倡—

2012钳11奉05泣14:15

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　2012钳の妈3煌染袋を奶じて斧つかったモバイル都耙をカバ〖する、エフセキュアのモバイル都耙鼠桂を给倡した。贷赂のファミリ〖の糠しいファミリ〖と啊硷が67硷券斧され、笆涟は士埠だった办婶のプラットフォ〖ム∈たとえばiOS、Windows Mobile∷が、附哼、マルチプラットフォ〖ムFinSpyトロイの腾窍のために、士下を宛されている。

Q3MTR chart

　拒嘿については、窗链な鼠桂今にある。コピ〖はここ∥PDF∠からダウンロ〖ドできる。

′′付矢へのリンク

ダウンロ〖ド¨モバイル都耙レポ〖ト Q2 2012

2012钳08奉07泣01:09

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　墓らくお略たせしたが、F-Secure Labsが2012钳4奉から6奉までに澄千した都耙を拒揭した≈Q2 2012 Mobile Threat Report∽を给倡する。

　鼠桂は笆布からダウンロ〖ドできる¨モバイル都耙レポ〖ト Q2 2012∥PDF∠

mtrq22012 (189k image)

′′付矢へのリンク

Java MIDletをインスト〖ルしたデバイスを筛弄とする≈Trojan:Java/SmsSy.A∽

2012钳04奉23泣12:40

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　Java MIDletをインスト〖ルしたモバイルデバイスを筛弄とする、SMS流慨房トロイの腾窍がマレ〖シアで叫搀っている。办婶の蕊巢荚は、Samsungからのアップデ〖トのように斧えるSMSメッセ〖ジを减慨したと鼠桂している。

samsung_update_trojan
Samsungからのアップデ〖トのお梦らせのように斧えるメッセ〖ジ

　しかしリンクをクリックすると、JARファイルに瞥く戮のリンク∈http://mmgbu[...].com:90/[...].jar∷にリダイレクトされる。このJARファイルは、票マルウェアが剩眶の没いナンバ〖にSMSメッセ〖ジを流慨するよう、拒嘿を悸乖する。

　悸乖されると、票トロイの腾窍は3つのSMSメッセ〖ジを∈たいていは铜瘟草垛戎规に∷ユ〖ザの票罢痰しで流慨する。コンテンツと减慨戎规は笆布の奶り¨
- ∪On GB∩ to 39914
- ∪On DF∩ to 39914
- ∪On HB∩ to 33499

　肌に、≈HOT WEB DL∽というタイトルと、≈DANCE CLUB∽≈BEACH GIRLS∽≈FUNNY VIDEO∽≈GT MODEL∽≈HOT CAM∽という5つのセクションに尸梧された谨拉の茶咙が绩される。オプションが联买されると、≈On∈コンテンツ∷∽というストリングを崔むSMSメッセ〖ジを、∈ナンバ〖∷に流慨する。コンテンツは笆布の奶り¨
- HB
- MODEL
- LY
- AV
- GA

　これらのメッセ〖ジは、稿で笆布のナンバ〖に流慨される¨
- 33499
- 33499
- 36660
- 36660
- 36989

smssy_manifest
メッセ〖ジコンテンツと减慨戎规の拒嘿を崔むファイル

smssy_picladies
≈SmsSy.A∽が蝗脱する茶咙

　票じトロイの腾窍の侍のサンプルを尸老したところ、佰なるコンテンツと减慨戎规が充り碰てられていることが尸かった¨

smssy_manifest2
≈SmsSy.A∽の戮のサンプルには佰なるコンテンツとナンバ〖が充り碰てられていた

smssy_picmtv
≈SmsSy.A∽により蝗脱された佰なる茶咙

　叉」は啼玛のあるURLを努磊に汉年し、≈Trojan:Java/SmsSy.A∽として浮叫している。

Sha-1: 75a91ac99cb5bc2a755d452393d29fa66a323c3f
Sha-1: bca72058af2a7ddb9577ecb9a61394a31aea5767

Blog post by - Jordan and Raulf

′′付矢へのリンク

Javaを碍脱するさらなるMacマルウェア

2012钳04奉17泣18:07

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　≈CVE-2012-0507∽を碍脱する糠しMacマルウェアの啊硷に簇する鼠桂が、黎降赦惧した。このJava廊煎拉は、60它骆笆惧のMacを炊厉させるのにFlashbackが蝗脱したのと票办のものだ。

　呵介の糠たな都耙はTrend Microの客」により尸老された。Mac脱Javaアプレットは悸狠、≈CVE-2012-0507∽を碍脱し、喇根すれば、ペイロ〖ドはAlienVault Labsが黎奉券斧した∈客涪褪割NGOに滦する筛弄房苟封で蝗脱された∷のと票じマルウェアだ。

　妈2の都耙は、呵介のうちは窗链に糠しいマルウェアの办婶であるように斧える。しかし、箭礁された肌のサンプルで、票マルウェアも≈Backdoor:OSX/Olyx.C∽および≈Backdoor:OSX/MacKontrol.A∽をドロップするのに脱いられた、≈MS09-027/CVE-2009-0563∽を碍脱する票办のWord今梧によりドロップされたことが汤らかになった。これも黎奉、AlienVaultにより鼠桂されたものだ。

　どちらのマルウェアも附哼アクティブなようで、ESETおよびKasperskyがそれぞれ囱卢しているように、マニュアルでコントロ〖ルされている。どちらも票办の碍罢あるJavaクラスˇドロッパˇコンポ〖ネントを蝗脱する。MD5: 5a7bafcf8f0f5289d079a9ce25459b4b

　エフセキュアアンチウイルスはこれらの都耙を≈Backdoor:OSX/Olyx.B∽および≈Backdoor:OSX/Sabpab.A∽として浮叫する。

MD5: 78f9bc441727544ebdc8374da4a48d3f – Backdoor:OSX/Olyx.B (侍叹Lamadai.A)
MD5: 40c8786a4887a763d8f3e5243724d1c9 – Backdoor:OSX/Sabpab.A (侍叹Lamadai.B)
MD5: 3aacd24db6804515b992147924ed3811 – Backdoor:OSX/Sabpab.A

　これらマルウェアの啊硷は、チベット簇息のNGOに滦する筛弄房苟封で蝗脱されており、したがって泣撅弄なMacユ〖ザ〖が≈インˇザˇワイルド∽で柳而することは痰さそうだ。もしあなたがMacを蝗脱している客涪啼玛漓嚏の售割晃なら∧リスクを蕊る澄唯は链く佰なる。まだ炊厉していないなら、Macにアンチウイルスをインスト〖ルすべき箕だ。

′′付矢へのリンク

踏パッチのJava廊煎拉を碍脱するMac Flashback

2012钳04奉02泣21:07

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　≈CVE-2012-0507∽∈Java廊煎拉∷を碍脱する、Flashbackの糠たな啊硷∈Macマルウェア∷が券斧された。叉」はここしばらく、このようなことが弹きるだろうと徒鳞していた。

Flashback.K

　Oracleは2奉、この廊煎拉にパッチを碰てるアップデ〖トをリリ〖スした。ただしWindows脱を∧

　しかし — AppleはOS Xのアップデ〖トを∈まだ∷リリ〖スしていない。

　Flashbackギャングはエクスプロイトˇキット倡券の呵糠の觉斗を纳っているようだ。黎降Brian Krebsが、Blackholeエクスプロイトˇキットの呵糠惹に≈CVE-2012-0507∽エクスプロイトが寥み哈まれたことを鼠桂した。そしてそれで姜わりではない。踏澄千ではあるものの、≈まだパッチを碰てていないJavaの考癸な风促∽に滦する、さらに侍のエクスプロイトが网脱材墙だという苯があるのだ。

　よって、もしまだJavaクライアントを匿贿していないのなら、これが弓まる涟にそうして暮きたい。MacでJavaを匿贿する数恕に簇するインストラクションは、叉」の涟搀の淡祸でチェックして瓦しい。

　Flashbackに炊厉しているかどうかをチェックする数恕に簇する笆涟のインストラクションも努脱材墙だ。しかしこの啊硷では、炊厉したユ〖ザのホ〖ムフォルダで侯喇される、侍のアップデ〖タコンポ〖ネントがある。デフォルトでは、≈~/.jupdate∽として侯喇される。

　滦炳する掳拉リストファイルも侯喇され、炊厉したユ〖ザがログインするたびに悸乖される。デフォルトでは、この掳拉リストは≈~/Library/LaunchAgents/com.java.update.plist∽として侯喇される。

　しかし、これらのファイル叹は炊厉したシステムにより佰なるかもしれない。これらは、エクスプロイトを涂える碍罢あるWebペ〖ジにより肋年材墙だからだ¨

　拒嘿については、エフセキュアによる≈Flashback.K∽の棱汤をご枉暮きたい。

MD5: 253CAE589867450B2730EF7517452A8B

′′付矢へのリンク

MS12-020廊煎拉を碍脱するツ〖ル

2012钳03奉27泣15:48

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　MicrosoftのMS12-020攫鼠が给倡されて笆丸、Remote Desktop Protocol∈RDP∷の廊煎拉を碍脱しようとする活みが眶驴くあった。黎降、叉」は簇息サンプルを减けとったが、これは筛弄としたRDPサ〖ビスを匿贿させることを誊弄とした≈RDPKill by: Mark DePalma∽というツ〖ルであることが冉汤した。

RDPKill

　票ツ〖ルはVisual Basic 6.0で今かれており、シンプルなユ〖ザインタフェ〖スを铜している。叉」はWindows XP 32-bitおよびWindows 7 64-bitが瓢侯するマシンでテストした。

RDPKill

　Windows XP 32-bitのマシンもWindows 7 64-bitのマシンも、どちらもサ〖ビス烁巢∈DoS∷苟封の逼读を减けた。サ〖ビスはクラッシュし、秽のブル〖スクリ〖ン∈BSoD∷觉轮∈Windowsがクラッシュした箕に斧られるエラ〖スクリ〖ン∷を苞き弹こした。

RDPKill BSoD

　叉」はこのツ〖ルを≈Hack-Tool:W32/RDPKill.A∽∈SHA-1: 1d131a5f17d86c712988a2d146dc73367f5e5917∷として浮叫している。

　≈RDPKill.A∽の戮に、击たようなツ〖ルとMetasploitモジュ〖ルをオンラインで斧つけることもできる。これらが掐缄材墙であるということは、パッチを碰てていないRDPサ〖バは、これらのツ〖ルを活みているかもしれない苟封荚により、推白にDoS苟封の筛弄とされる材墙拉がある。

　システムにパッチを碰てていない数、泼にマシンでRDPサ〖ビスを悸乖している数には、できるだけ玲くパッチを碰てるよう动く锦咐する。

Threat Solutions post by — Azlan and Yeh

′′付矢へのリンク

∈Mac∷Flashbackはあるか々

2012钳03奉23泣21:52

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　奉退、Flashbackトロイの腾窍によってMacに俱巢が弹きない数恕をご疽拆した。海泣はFlashback炊厉を斧つける数恕に簇する攫鼠を捏丁する。

　笆布のステップをより紊く妄豺するには、Flashbackについても驴警している数が紊いだろう。これはOS Xマルウェアファミリで、Webブラウザにより山绩されるコンテンツを饯赖する。そのために、票マルウェアはMacのブラウザが蝗脱する怠墙を网脱する。捐っ艰られる怠墙は啊硷ごとに佰なるが、办忍にCFReadStreamReadおよびCFWriteStreamWriteが崔まれる¨

　筛弄とされるWebペ〖ジと恃构は、リモ〖トサ〖バから粕み叫されるコンフィギュレ〖ションに答づいて疯年される。笆布はコンフィギュレ〖ションˇデ〖タの毋だ¨

　デコ〖ドすると、筛弄とされたWebペ〖ジ∈乐∷とインジェクトされたコンテンツ∈搏∷が尸かるだろう¨

　こうした墙蜗は祸悸惧、これをある硷のバックドアにする。このことと、票マルウェアが呵介、Flash Playerインスト〖ラのふりをしてユ〖ザをだまそうとした祸悸から、Flashbackと钙ばれている。しかし、笆惯それは渴步しており、呵夺の啊硷では橙欢するためエクスプロイトを寥み哈み幌めた。讳が斧たケ〖スすべてで、警なくともGoogleを筛弄としており、これは悸狠Mac QHostの肌の渴步妨ではないかと雇えるに毗った。

　拆掐怠墙を网脱して、Flashbackが肌に乖うのはブラウザにそれをロ〖ドさせることだ。

　これはDYLD_INSERT_LIBRARIES茨董恃眶が舔惟つところだ¨

　办忍に炊厉には2硷梧ある。妈1の炊厉は、票マルウェアが瓷妄涪嘎を积つ狠に栏じる。妈2の啊硷≈Flashback.B∽もしくは惧のスクリ〖ンショットが毋だ。このタイプの炊厉では、DYLD_INSERT_LIBRARIES茨董恃眶が筛弄とされたアプリケ〖ション、泼にブラウザのコンテクストにのみ纳裁される。介袋の啊硷はSafariとFirefoxを筛弄としている。呵夺の啊硷ではSafariのみが筛弄だ。この硷の炊厉にユ〖ザが丹づくのは、より岂しい材墙拉がある。炊厉したシステムがより奥年しているためだ。

　炊厉の妈2のタイプは、票マルウェアに瓷妄涪嘎の痰い箕に栏じる。呵介の啊硷≈Flashback.A∽がその毋だ。このタイプの炊厉では、DYLD_INSERT_LIBRARIES茨董恃眶が炊厉したユ〖ザのコンテクストに纳裁される。これは票マルウェアが炊厉したユ〖ザが弹瓢する链てのアプリケ〖ションにロ〖ドされるということを罢蹋している。その狠、高垂拉のないアプリケ〖ションに弹傍するクラッシュが笼えるので、炊厉したシステムははるかに稍奥年になる。これを豺疯するため、呵夺の啊硷は糠しいフィルタコンポ〖ネントを瞥掐している¨

　惧淡の毋では、フィルタコンポ〖ネントはプロセスがSafariである眷圭、メインコンポ〖ネントをロ〖ドするのみだ∈スクリ〖ンショットで≈WebPo∽を痰浑すること。これはおそらく、Safariであれば办婶であるWebProcessを、マルウェア侯荚がタイプミスしただけだろう∷。

　では、このケ〖スではどのように炊厉を泼年するのか々　呵も词帽なのは、ブラウザのDYLD_INSERT_LIBRARIES茨董恃眶のチェックだ。Terminalで笆布のコマンドを蝗脱すれば紊い¨

• defaults read /Applications/%browser%.app/Contents/Info LSEnvironment

　惧淡の毋は、Firefoxがクリ〖ンであることを罢蹋している。炊厉していれば、布のようなものを斧る祸になるだろう¨

　乐で跋まれたDYLD_INSERT_LIBRARIESの猛に庙罢して瓦しい。フィルタコンポ〖ネントである眷圭、メインコンポ〖ネントを泼年するのにそれが涩妥だ。

• grep -a -o '__ldpath__[ -~]*' %path_from_previous_step%

　乐で跋まれたファイルはFlashbackファイルなので、庙罢して瓦しい。ほとんどのユ〖ザにDYLD_INSERT_LIBRARIES茨董恃眶は痰いと蛔う。

　グレップで冯蔡が评られなければ、それはあなたのシステムの啊硷は、フィルタコンポ〖ネントを铜していないことを罢蹋している。

　厂さんが肌にチェックしたいのは、妈2のタイプの炊厉が弹きていた眷圭、あなたのユ〖ザのDYLD_INSERT_LIBRARIES茨董恃眶をチェックするということだろう¨

• defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

　冯蔡が评られなければ、このタイプの炊厉は弹きていないことを罢蹋している。

　フィルタコンポ〖ネントがあれば、メインコンポ〖ネントを斧つけるのに、また笆布のコマンドを蝗脱すれば紊い¨

• grep -a -o ' __ldpath__[ -~]*' %path_from_previous_step%

　サンプルはどうするか々　叉」に流って瓦しい。そうして暮ければ、戮のAVベンダとサンプル鼎铜を缄芹するので、コミュニティの锦けにもなる。

　システムからサンプルを猴近する狠、DYLD_INSERT_LIBRARIES茨董恃眶も涩ず猴近すること。さもないと、ブラウザもしくは构に碍いことには链アカウントが、肌搀、ロ〖ドされないかもしれない。

　妈1のタイプの炊厉では笆布を蝗脱して瓦しい¨

• sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment
• sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist

　妈2のタイプの炊厉では笆布を蝗脱すること¨

• defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
• launchctl unsetenv DYLD_INSERT_LIBRARIES

　より呵夺のFlashback啊硷に簇する拒嘿は、叉」のTrojan-Downloader:OSX/Flashback.Iの豺棱でチェックできる。

では。
Brod

′′付矢へのリンク

誊布のMacマルウェア

2012钳03奉19泣23:47

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

叉」が呵稿にMacのマルウェアについて今いてからずいぶんになるので、ここ眶ヶ奉に弹きていることについて、粕荚の厂さんに呵糠攫鼠を捏丁する数が紊いだろうと雇えた。候钳、叉」は扩侯庞惧にあるMac惹トロイの腾窍とおぼしきものを拒揭した。碰箕はまだ、バンドルの办婶であるか、スタンドアロンのバイナリなのかを夸卢していた。附哼では、糠しい啊硷が券斧され、それは塑呈弄なアプリケ〖ションであり、アイコンも窗洒していることが汤らかになっている。

　侯荚はこの啊硷を≈version 1.0∽∈リトルエンディアンで≈FILEAGENTVer1.0∽∷と钙んでいる。

　讳が尸老したサンプルは、Irina Shaykのサムネイル茶咙/アイコンを蝗脱しているが、これはどうやらFHM∈South Africa∷伙の2012钳3奉规から艰られたもののようだ。この碍罢あるアプリケ〖ションバンドルは、ファイルタイプをユ〖ザ〖が斧皖とすことを袋略して、票伙から艰られた戮の茶咙と鼎に、ア〖カイブファイル柒で鸥倡される。

FHM Feb Cover Girl Irina Shayk H-Res Pics

FHM Feb Cover Girl Irina Shayk H-Res Pics

　インプリメンテ〖ションの戮に部ら糠しい疥はない。バックドアペイロ〖ドも票じだが、糠たなC&Cサ〖バを蝗脱している。票サ〖バは附哼∈脊僧箕∷アクティブだ。この糠しいC&Cサ〖バがまだ、ESETの客」が咐第している、涟搀の啊硷と票じIPアドレスを绩していることに庙罢することが脚妥だ。叉」はこのサ〖バをCERT-FIに鼠桂した。うまくいけば、揉らが簇犯碰渡に奶梦できるだろう。

　叉」は糠たなこの啊硷をTrojan-Dropper:OSX/Revir.C、MD5: 7DBA3A178662E7FF904D12F260F0FFF3として浮叫している。

呵稿に—あちら娄にひそんでいる、もう办つのより考癸なOS Xマルウェア都耙がある。このFlashbackトロイの腾窍は介め、Revirと票じ孩に附れたものだが、附哼もインˇザˇワイルドだ。これはエクスプロイトを蝗脱して、ユ〖ザとのインタラクション痰しで、システムを炊厉させる。碍脱しているのは概いJava廊煎拉∈CVE-2011-3544およびCVE-2008-5353∷だが、碍呸息面がオペレ〖ションをアップグレ〖ドし、パッチを碰てていない廊煎拉を晾い幌めるなら、塑碰のOS X聋瓢を斧る祸になるかもしれない。

　海稿の淡祸で、Flashback炊厉を泼年する数恕を拒揭する徒年だ。その粗、炊厉を闰ける呵も推白な数恕は、ブラウザでJavaをオフにしておくことだ。叉」の拇汉によれば、Webを避枉する狠、ほとんどのユ〖ザがJavaを涩妥としていない。部らかの妄统で、たとえばオンラインˇバンキングなどでJavaが涩妥ならば、涩妥な箕だけオンにすることだ。そして姜位したら、またオフにすること。

　Safariでは、茨董肋年のセキュリティタブで≈Javaを铜跟にする∽のチェックをはずせば紊い。

Safari, Java settings

　あるいは、Snow Leopard∈LionはデフォルトではJavaは烹很していない∷から、アプリケ〖ション、ユ〖ティリティ、Java肋年に乖くことでJavaをオフにできる。办忍タブですべてのチェックをはずそう。

Java Preferences

では
Brod

′′付矢へのリンク

≈Trojan:Android/OpFake.D∽がコンフィギュレ〖ションファイルをコ〖ド步

2012钳01奉31泣16:28

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

叉」はマルウェアが、黎に戮のオペレ〖ティングシステムで判眷し、Androidに败竣されるケ〖スを紊く斧ている。笆布はその掘凤を塔たす糠たなトロイの腾窍だ。

　OpfakeはSymbianとWindows Mobileで、呵介に券斧された。呵夺のAndroid惹では、票トロイの腾窍は∈まだ∷Opera Miniアプリであるように斧える∧パ〖ミッションのリクエストは、SMSメッセ〖ジを流慨することだけだ:

Android OpFake, permission

　票アプリ∈叉」は≈Trojan:Android/OpFake.D∽として浮叫している∷は、ロ〖ンチの狠メッセ〖ジを流慨することが尸かった¨

Android OpFake, SMS

　笆涟のケ〖スでは奶撅、クラスにハ〖ドコ〖ドされたSMSメッセ〖ジを斧かけたが、海搀はメッセ〖ジコンテンツと排厦戎规は≈config.xml∽ファイルに瘦赂され、エンコ〖ドされる。笆布は矢机步けしたコ〖ドだ¨

Android OpFake, garbled code

このストリングはbase64デコ〖ディングを蝗脱してデコ〖ドされると粕み叫し材墙となり、悸乖箕にメッセ〖ジがアプリにより流慨されることを绩している¨

Android OpFake, decoded code /> 　このAndroid惹∈SHA1: 4b4af6d0dfb797f66edd9a8c532dc59e66777072∷は、そのコンフィギュレ〖ションファイルをエンコ〖ドするopFakeの≈帕琵∽を减け费いでおり、糠しいものではない。しかしこれは、尸老からコ〖ドやアクションを保すため、ますますエンコ〖ディングや戮のテクニック∈戮のプラットフォ〖ムで墓钳筛洁だったもの∷を蝗脱する、Androidマルウェアの附哼のトレンドに碰てはまっている。 ThreatSolutions post by — Irene <div style=

Android OpFake, decoded code /><br /><br /> 　このAndroid惹∈SHA1: 4b4af6d0dfb797f66edd9a8c532dc59e66777072∷は、そのコンフィギュレ〖ションファイルをエンコ〖ドするopFakeの≈帕琵∽を减け费いでおり、糠しいものではない。しかしこれは、尸老からコ〖ドやアクションを保すため、ますますエンコ〖ディングや戮のテクニック∈戮のプラットフォ〖ムで墓钳筛洁だったもの∷を蝗脱する、Androidマルウェアの附哼のトレンドに碰てはまっている。<br /><br />ThreatSolutions post by — Irene<br /><br /><div style=

ThreatSolutions post by — Irene

′′付矢へのリンク

Androidマルウェアが排灰譬かしを蝗脱々それほどでも∧

2012钳01奉30泣16:47

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　讳がいつものようにAndroidマルウェア尸老を乖っている狠、泼年のサンプルのクラスˇモジュ〖ルにざっと誊を奶していると、笆布のようなコ〖ドを斧つけた。

fig1_finding_tEXT_chunk (4k image)
哭1

　候钳稿染、讳はPortable Network Graphics∈PNG∷茶咙フォ〖マット、泼にテキスト攫鼠を积つフィ〖ルドについて、より拒嘿にチェックしていた。コ〖ドを斧ていると、なぜこのアプリケ〖ションはPNGファイルの≈tEXt∽チャンクが赂哼しているかどうか、チェックする涩妥があるのかということについて、すぐに悼前が栏じた。

　讳はコ〖ドに誊を奶し鲁け、この泼年コ〖ドが茶咙ファイルを泼年するため、どこでコ〖ルされるかを券斧した。

fig2_method_checking_tEXT (85k image)
哭2

　票コ〖ドのこの婶尸は、茶咙ファイルがリソ〖ス叹≈icon.png∽を蝗脱し、アプリケ〖ションとバンドルされていることを绩している。それからこの茶咙は倡かれ、PNGチャンク∈哭1∷をチェックするコ〖ドがコ〖ルされる数恕へと流られる。

　APKパッケ〖ジのリソ〖スを浮汉することで、击たような叹疚の3つのファイルが附れる。これはtEXtチャンクの介搀の券栏にしか督蹋を积っていないため、讳はただちにHEXビュ〖ワを艰り叫し、链ファイルの呵介のtEXtチャンクを拇べた。これらは厂、泼年のチャンク脱に票办のバイナリデ〖タを崔んでいた。笆布は、この茶咙の柒婶山绩と、HEXビュ〖ワでレンダリングの狠にどう斧えるかを绩している。

fig3_tEXT_chunk_marker (161k image)
哭3

　この茶咙は、アプリケ〖ションのアイコンとしても蝗脱されている。よって、デバイスへのインスト〖ル面もインスト〖ル稿も、润撅に紊く誊にする。

fig4_app_icon (139k image)
哭4

　附箕爬で、哭3のデ〖タは讳にはほとんど罢蹋が痰いが、tEXtチャンクがバイナリデ〖タ、もしくは粕めないストリングを积つのは舍奶ではない。そこで哭1の荒りのコ〖ドの尸老を鲁けた。构に尸老して尸かったのは、これが哭3の保されたデ〖タを粕み、ハ〖ドコ〖ドされたtext stream∈≈キ〖∽∷に滦してビットごとのXOR遍换を、どのバイト粕み叫しでも悸卉することだ。

fig5_hidden_data_decryption (39k image)
哭5

　讳はPython巧なので、哭3から保れた攫鼠をデコ〖ドするため、笆布のような井さなスクリプトを侯喇した。このアルゴリズムは、哭5のコ〖ドで尸かったことに答づいている。スクリプト∈哭6.a∷を悸乖した稿、睹いたことに、粕み艰り材墙な毖帽胳と眶がいくつかあった—

　これらのプレ〖ンテキスト攫鼠が、アプリケ〖ションに滦して部を罢蹋するのかは、巴脸としてハッキリしないが、附箕爬で、こえららのデ〖タ∈哭6.b∷をPNGファイル∈哭3∷のtEXtチャンクデ〖タから保すため、排灰譬かしを蝗脱していることが尸かった。しかし、排灰譬かしの阜泰な年盗を斧ると、このサンプルが塑碰に排灰譬かし弄であると雇えられるのかどうかは、的侠の途孟がある。PNGファイルのチャンクの办つで、エンコ〖ドされたデ〖タのシンプルな虽め哈みに册ぎないからだ。

fig6_decrypt_hidden_data(79k image)
哭6

　哭5の荒りのコ〖ドの尸老を鲁けると、これら保された攫鼠∈婶尸弄なスクリ〖ンショットは笆布の奶り∷が、アプリケ〖ションの肩妥な瓢怠∈すなわち铜瘟戎规にSMSを流慨するということ∷をサポ〖トするために蝗脱されているという祸悸がさらに动盖となった。

fig7_hidden_info_screenshot (125k image)
哭7

　惧のコ〖ドを券斧したほか、SMSの流慨オペレ〖ションのため、これら攫鼠を悸狠に蝗脱していることを澄かめるため、Androidデバイスエミュレ〖タでアプリケ〖ションの悸乖も乖った。そしてここでは、流叫されるSMSイベントが淡峡され、哭6.bのデコ〖ドされたデ〖タとよく击た拒嘿が评られた。このイベントは、讳が糠たにインスト〖ルされたアプリケ〖ションのメインUIから、≈Next∽ボタンをヒットした庞眉に弹こった。

fig8_outgoing_sms_event (65k image)
哭8

　このアプリケ〖ションのsha1は≈ac118892190417c39a9ccbc81ce740cf4777fde1∽で、≈Trojan:Android/FakeRegSMS.B∽として浮叫される。

Threat Solutions post by ? Jessie

----

2012钳1奉30泣¨排灰譬かしについてさらに拒揭するため、タイトルとテキストに饯赖を裁えて构糠した。

′′付矢へのリンク

Androidパ〖ミッション:アプリのため々弓桂のため々

2012钳01奉10泣15:39

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　Androidアプリケ〖ションパッケ〖ジ∈APK∷は剩眶のモジュ〖ルを崔むことが材墙だ。办つ笆惧のこうしたモジュ〖ルは、弓桂SDKかもしれない。附哼、驴くのAndroid倡券荚が痰瘟で极尸茫の澜墒をユ〖ザに捏丁するため、こうしたモジュ〖ルを蝗脱しているため、海泣ではそれはかなり紊くあることだ。では、アプリはクリ〖ンだが、弓桂モジュ〖ルが悼わしい眷圭はどうだろう々

　ユ〖ザがメインのアプリに滦してパ〖ミッションを涂えてインスト〖ルした眷圭∈滇められているパ〖ミッションについて、紊く妄豺しており、丹にかけていると簿年する∷、ユ〖ザは弓桂モジュ〖ルにも票じパ〖ミッションを蝗脱することを钓材することになる。箕擂、パ〖ミッションはメインのアプリケ〖ションではなく、弓桂モジュ〖ルによってのみ蝗脱される。

　附哼、Androidアプリはメインのアプリが蝗脱するパ〖ミションと、弓桂モジュ〖ルが蝗脱するパ〖ミッションとを惰侍しない。そしてセキュリティに簇しては、ユ〖ザとアナリストの列数にとって、それはまだ般恕かどうか腮摊だ。たとえば、笆布は给及Android Marketからダウンロ〖ドされた、弓桂をサポ〖トするアプリのパ〖ミッションˇタブのスクリ〖ンショットで、パ〖ミッションに簇する润撅に办忍弄な棱汤が今かれている¨

android_market_permission (18k image)

　メインのアプリと弓桂モジュ〖ルの列数が、どのようにパ〖ミッションを网脱したかをパ〖ミッションˇタブが绩せば、ユ〖ザにとってより尸かりやすくはないだろうか々　あるいはさらに紊いのは、弓桂モジュ〖ル脱のパ〖ミッションˇタブがあるとか々　そうすれば、メインのアプリ/弓桂モジュ〖ルが部をするか、ユ〖ザにより尸かりやすくなり、インスト〖ルを鲁けたいかどうか联びやすくなるだろう。

　黎孩、こうしたことを绩す祸毋があった。メインのアプリはクリ〖ンだったが、弓桂モジュ〖ルに啼玛があった≈Spyware:Android/AdBoo.A∽の祸毋だ。これは、ユ〖ザの怠泰攫鼠を箭礁し、リモ〖トサ〖バに流慨していた。

　附哼、络婶尸の弓桂サ〖ビスは、≈タ〖ゲットを故った∽弓桂を捏丁するため、啡掠排厦からの笺闯の攫鼠を涩妥としているが、AdBooで叉」は、票モジュ〖ルがあまりに驴くの攫鼠を妥滇していると雇えた。そして票弓桂モジュ〖ルが答塑弄に、メインのホストアプリのパ〖ミッションを鼎铜していたため、弓桂モジュ〖ルをブロックし、メインのアプリを荒す数恕は痰い。

　アプリにパ〖ミッションが涂えられると、弓桂モジュ〖ルは黎に渴むことができる。赖惮の弓桂を山绩するだけなら、それで紊い。もしそのモジュ〖ルが悼わしいル〖チンを崔むなら、それはあまり紊いことではない。AdBooのケ〖スでは、モジュ〖ルは排厦から拒嘿を箭礁するが、笆布のスクリ〖ンショットでそのいくつかが动拇されている¨

spyware_adboo_leak_1 (74k image)

　そして笆布は滦炳するSmaliコ〖ドで、これらの攫鼠が悸狠、弓桂バナ〖を捏丁する笆涟に箭礁されている¨

spyware_adboo_smali (35k image)

　附哼、票アプリが弓桂を崔んでいるかどうか、あるいはインスト〖ルの涟もしくは呵面に、どのような弓桂が山绩されるか、はっきりとは尸からない。办婶の倡券荚はマニュアルで、アプリが弓桂を崔むことを汤淡しているが、链ての倡券荚がそれほどきちんとしているわけではない。アプリが≈弓桂掐り∽もしくは≈弓桂痰し∽とはっきり山绩されていれば、ユ〖ザにとってより汤球ではないだろうか々

　そして呵姜弄な啼玛は、链ての倡券荚が极尸茫の澜墒で山绩される弓桂のタイプを、コントロ〖ルできるわけではないことだ。弓桂モジュ〖ルは奶撅、サ〖ドパ〖ティの弓桂プロバイダから、箕には剩眶のサ〖ビスからマテリアルを积って丸るため、山绩される弓桂のタイプをコントロ〖ルすることは、より胺いにくくなっている。呵碍の眷圭、灰ども脱のアプリに喇客羹けの弓桂が山绩される眷圭もあるようだ。

----

ThreatSolutions post by Jessie

′′付矢へのリンク

糠钳の搓いごと - デ〖タ箭礁烧き

2011钳12奉29泣19:12

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　2011钳が姜わろうとしている。黎泣クリスマスが册ぎ、糠钳が夺烧きつつあるため、碰脸、驴くのお斧神いの咐驼や胆泪の哀虎などが流られている。部荚かが∈警し觅れて∷徊裁しようと疯め、票箕にちょっとしたデ〖タ箭礁も乖おうと疯罢したようだ。

　≈Spyware:Android/AdBoo.A∽は、丹のきいた/庭しい/烫球いメッセ〖ジを梦客に流れるようにするプログラムの办つだ。悸乖すると、票プログラムは糠钳の搓いごとや艇攫、唉攫、ジョ〖クといった屯」なカテゴリに尸梧されたテキストメッセ〖ジのリストを山绩する¨

AdBoo text

　ユ〖ザがこれらメッセ〖ジの办つを联买すると、票アプリはユ〖ザに息晚黎、试礁、キャンセルという肌の乖瓢を联ぶよう滇めるダイアログボックスを山绩する¨

AdBoo message

　息晚黎オプションを联买すると、アプリは瘦赂されている息晚黎デ〖タを粕み哈もうとする。おそらく票アプリはメッセ〖ジを茂に流るのかを梦る涩妥があるのだろう¨

AdBoo choices

　介袋豺老面、叉」のテスト脱啡掠排厦には息晚黎が瘦赂されていなかったため、票アプリはこの箕爬で部も搀箭しなかった。

　しかし、∈刀の∷息晚黎を蝗脱して浩テストすると、テキストメッセ〖ジも流られず、ユ〖ザは≈流慨己窃∽というメッセ〖ジというダイアログボックスが叫るだけだった¨

AdBoo sending fail

　叉」はしかし、票アプリが部か侍のことをしているのに丹づいた。息晚黎オプションを联买すると、票アプリは笆布の攫鼠をこっそりと眉琐から艰评するのだ¨

1∷眉琐のモデル
2∷Androidのバ〖ジョン
3∷排厦戎规
4∷柜狠败瓢挛刘弥急侍戎规∈IMEI∷

　箭礁された攫鼠は肌にリモ〖トサ〖バに流慨される。

　ちなみに、叉」の缄傅にあるAdbooサンプルの沮汤今を斧ると、≈Trojan:Android/Zsone.A∽と票じ倡券荚のものであるようだ¨

AdBoo:

AdBoo SHA1

Zsone:

Threat Solutions post by — Irene

′′付矢へのリンク

≈Trojan:Android/FakeNotify∽がアップデ〖ト

2011钳12奉28泣18:08

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　海奉はじめに叉」は铜瘟草垛房のSMSトロイの腾窍に簇する淡祸を非很した。≈Trojan:Android/FakeNotify.A∽として浮叫したものだ。附哼、票トロイの腾窍がアップデ〖トされ、尸老と浮叫をより恬拆にする恃构が裁えられていることが尸かっている。

　金叹沮汤今から尸かるように、糠バ〖ジョンは票じ倡券荚が侯喇したものだ。トロイの腾窍の链挛弄なふるまいに恃构は痰いが、コ〖ディングアプロ〖チはかなり恃わっており、琅弄豺老ツ〖ルなどを己窃させるのに浇尸だ。

　毋えば尸老面、讳はオリジナルと附乖バ〖ジョン列数からのSMS流慨ル〖チンを孺秤したが、笆涟のよりシンプルなコ〖ディングアプロ〖チがよりダイナミックになっていることに丹づいた。

　≈FakeNotify∽のオリジナルバ〖ジョンでは、ル〖チンはそれが部であるか、润撅に词帽に≈粕む∽ことができる帽姐な数恕で悸刘されていた¨

FakeNotify, original send

FakeNotify.A

　しかし糠バ〖ジョンは、アナリストがコ〖ドを≈粕む∽ことをより岂しくするとともに、票じ誊筛を茫喇するためにJava咐胳のReflection/Dynamic Invocation怠墙を网脱している。

　倡券荚たちは、极咳のエンコ〖ディング/デコ〖ディングアルゴリズムを蝗脱して、ストリング苞眶を寒宛させることによりさらに殊を渴めている∈これはシンプルな垂机及弄な芭规に册ぎないが∷。笆布でコ〖ド步されたフォ〖ムを斧ることができる¨

FakeNotify, update encoded

FakeNotify.B, SHA1: df866cf4312cf9c929a9a7dc384eebb19d2b2c2d

　コ〖ディングアプロ〖チの恃构は、络婶尸の琅弄豺老ツ〖ルを推白に痰跟步することができる。

承今¨尸老面、讳は仆脸、Windows LoadLibraryとGetProcAddress combo API簇眶およびJava Reflectionのいくつかの怠墙との梧击爬に丹づいた。戮のAPI簇眶アドレス∈Windows∷およびクラス、もしくはObject handleのメソッド∈Java∷に簇しては、列数とも倡券荚が呵夺惩评した数恕もしくは簇眶をコ〖ルするか、悸乖することを材墙にする。

　いずれにせよ、Androidの坤肠に提ろう。糠たなFakeNotifyバ〖ジョンの尸老を推白にするため、讳はシンプルなPythonスクリプトを侯喇し、岂粕步されたストリングのインスタンスを、碍罢あるアプリケ〖ションでデコンパイルされているJavaソ〖ス链ての士矢ものと掐れ仑えた。

　パッチングの稿、SMS流慨ル〖チンはclass SmsManagerとそのgetDefault method/functionのハンドリングを惩评し、その稿、SmsManager classのsendTextMessageファンクションを蝗脱するため、弹瓢/コ〖ルされるか、努磊に介袋步される涩妥がある¨

FakeNotify, update decoded

　澄かに、讳がAndroidマルウェアによりJava Reflection怠墙が蝗脱されるのを斧たのは、これが介めてではないし、ストリングの岂粕步は剩花ではない。しかしこれはAndroidマルウェアの倡券荚が极尸茫の≈澜墒∽を呵糠にし、浮叫されないようにするため、その祷窖を肌」と努炳させ、アップグレ〖ドする数恕のかなり汤谗な毋と咐える。

Threat Solutions post by — Jessie

′′付矢へのリンク

怠墙しないAndroid草垛房SMSトロイの腾窍

2011钳12奉27泣19:13

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　叉」は草垛房のSMS戎规にSMSメッセ〖ジを流慨しようとするAndroid羹けトロイの腾窍を券斧した。それは牧しくはない。しかし、佰なっているのは、これらのトロイの腾窍が瓢侯しないということだ。

　これらトロイの腾窍∈≈Trojan:Android/RuFailedSMS.A∽として浮叫されている∷は、笆布のパ〖ミッションを脱いる¨

RuFailedSMS, permissions

　そして碍罢のあるアプリケ〖ションはそれぞれ、∈客丹のアプリのように蛔われる∷パッケ〖ジのダウンロ〖ドをオファ〖し、屯」なアプリケ〖ションのインスト〖ラのふりをする¨

RuFailedSMS, main UI

　≈オファ〖される∽アプリケ〖ションには笆布のものがある¨

  •  Add_It_Up
  •  Advanced_Launcher_Lite
  •  AmazingMaze_supLitesup
  •  Analog_Clock_Collection
  •  Animal_Sudoku
  •  AnySoftKeyboard
  •  AnySoftKeyboard_Slovak_Language_Pack
  •  AppInventor_Toggle
  •  Arrow_Caz
  •  Astronomical_Flashlight
  •  BentoCam!
  •  Bimaru_-_Battleship_Sudoku
  •  BlackJack
  •  Carve_a_Pumpkin_supLitesup
  •  Chinese_Chess
  •  Christmas_Ringtones
  •  Coloring_pages
  •  Contact_Finder_supLitesup
  •  Converter
  •  Countdown_Widget
  •  Crayon_Ball
  •  Cyan_aHome_Theme

　宫いなことに、コ〖ドに梳陋されなかった毋嘲があるため、票トロイの腾窍∈SHA1: 0d2d3317c6ca1a9812d357741f45af6bb360d89c∷は、その碍罢ある宠瓢を窗位せず、クラッシュして匿贿してしまう¨

RuFailedSMS, crashed

　叉」は100を亩えるトロイの腾窍のコピ〖を券斧しているが、かなりの眶が祷窖弄に光刨なものではない。それらのコピ〖は答塑弄に票じソ〖スコ〖ドを蝗脱しているが、佰なるパッケ〖ジ脱に佰なるコンフィギュレ〖ションに猖陇されているに册ぎないのだ。.

　これらトロイの腾窍は、サ〖ドパ〖ティのAndroidマ〖ケットで券斧されており、ロシア、ベラル〖シ、カザフスタンおよびアゼルバイジャンのユ〖ザを筛弄としている。

　これらのトロイの腾窍はクラッシュし、怠墙しないにしても、碍罢あるル〖チンのため、またコピ〖が络翁に叫搀っているためもあって、浮叫は乖っている。

Threat Solutions post by — Jessie

′′付矢へのリンク

Androidマ〖ケットの壕到アプリ

2011钳12奉23泣18:51

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　マルウェアの侯荚が络美にも、客丹のアプリと梧击したパッケ〖ジ叹およびアイコンを蝗脱し、このマルウェアを给及なAndroidマ〖ケットで券山するというプラクティスが笼えているようだ。赖及なアプリの痰瘟/ライト惹であるかのような刀りの山绩のもと、部も梦らないユ〖ザがこうしたマルウェアをダウンロ〖ドする材墙拉がある。

　Logastrod and Miriada Productionにより蝗脱されたプラクティスと票屯、Eldar Limitedが≈Cut the Rope∽と≈Assassin's Creed∽アプリの痰瘟惹を刘うマルウェアを给倡した。停办の啼玛はAndroidマ〖ケットでシンプルサ〖チを乖っても、≈Cut the Rope∽痰瘟惹の冯蔡は提って丸ないことだ。おそらく、Androidプラットフォ〖ムでは帽に痰瘟惹は赂哼しないのだろうが、iOS脱の痰瘟≈Cut the Rope Lite∽は赂哼する。ここでユ〖ザが寒宛するかもしれず、こうした里维の稻婪になる材墙拉がある。

Eldar Limited, Android Market

　Googleのアプリポリスはこの壕到を券斧し、Androidマ〖ケットから燎玲く猴近した。これらアプリはAppBrainとAndroidZoomにはまだ非很されているが、リンク黎はユ〖ザを、すでにアプリが猴近されている给及Androidマ〖ケットに瞥く。

EldarLimited, AppBrain

　ユ〖ザには、アプリの铜瘟惹を浮瑚し、倡券荚叹に庙誊するというティップが舔惟つだろう。铜瘟惹と痰瘟惹の列数で叹疚が办米すれば、それは奥链なアプリである澄唯が润撅に光い。さもなければ、ダウンロ〖ドしてはいけない。

′′付矢へのリンク

≈Trojan:Android/SMStado.A∽と≈Trojan:Android/FakeNotify.A∽

2011钳12奉09泣18:29

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　海泣叉」は、企つのAndroid羹け草垛房SMSトロイの腾窍に柳而した。饿脸にも、どちらもロシアのユ〖ザを筛弄にしたものだ。

　呵介に、≈Trojan:Android/SMStado.A∈SHA1: 718b8fbab302b3eb652ee0a5f43a5a2c5c0ad087∷∽について。

　奶撅奶り、その拉剂に簇する呵介のヒントとなるのは、リクエストされるパ〖ミッションだ¨

trojan_android_smstado_a_permission_1 (80k image)

trojan_android_smstado_a_permission_1 (80k image)

trojan_android_smstado_a_permission_2 (64k image)

　悸乖すると、票トロイの腾窍はhttp://[...]6.antiddos.bizに滦して笆布の拒嘿をリ〖クする¨

  •  柜狠败瓢挛刘弥急侍戎规∈IMEI∷
  •  パッケ〖ジ叹
  •  排厦戎规
  •  眉琐モデル

trojan_android_smstado_a_code (54k image)

trojan_android_smstado_a_run (67k image)

trojan_android_smstado_a_run_2 (58k image)

　これらの拒嘿は、アプリˇパッケ〖ジのres\rawフォルダにも瘦赂される。

　さらに、票アプリが悸乖される狠、ユ〖ザがスクリ〖ン布婶のボタンをクリックすると、SMSメッセ〖ジが回年された草垛房の排厦戎规に流慨される。これまでのところ、すべての戎规がロシアの柜侍コ〖ド∈泼にモスクワエリアのものが驴い∷を蝗脱している。SMSメッセ〖ジにはすべて、笆布のテキスト矢机误が崔まれている¨

• hm78929201647+1188+51+0+1+b92be

　このトロイの腾窍はリモ〖トサイトから、≈love_position_v1.5.0.apk∽という叹のパッケ〖ジもダウンロ〖ドする¨
(SHA1: 9cb4cc996fb165055e57e53ab5293c48567e9765)

trojan_android_smstado_a_download (73k image)

trojan_android_smstado_a_download (73k image)

　叉」のテストでは、豺老エラ〖のため、ダウンロ〖ドされた排厦惧ではサンプルが瓢侯しなかった¨

trojan_android_smstado_a_download_error (22k image)

　しかし、ダウンロ〖ドˇパッケ〖ジを侍の、クリ〖ンなテスト脱排厦怠で迫惟して尸老したところ、こちらは弹瓢の狠、バックグラウンドで碍罢あるサ〖ビスも倡幌するという般いはあるが、≈Trojan:Android/SMStado.A∽とほとんど票じふるまいをすることが尸かった¨

trojan_android_smstado_a_service (96k image)

trojan_android_smstado_a_service (96k image)

　肌のマルウェアは≈Trojan:Android/FakeNotify.A∽だ。

　これはアップデ〖ト奶梦アプリケ〖ションを刘う。笆布はアプリが蝗脱するパ〖ミッションと、眉琐にインスト〖ルされる狠の屯灰だ¨

trojan_android_fakenotify_permissions (83k image)

trojan_android_fakenotify_permissions (83k image)

trojan_android_fakenotify_downloaded (114k image)

メモ¨≈Stados.A∽≈FakeNotify.A∽のどちらも票じ叹涟∈установка∷だが、Google Translateによれば、これは≈インスト〖ル∽という罢蹋だ。アプリを叹烧けるのに、これらマルウェアの啊硷粗の簇犯を绩すよりも、办忍弄な咐驼が脱いられたということが绩されているのだろう。

　いったんインスト〖ルされ、悸乖されると、ユ〖ザの督蹋をひくために客丹のあるモバイルゲ〖ムの叹を蝗脱して、アプリケ〖ションのダウンロ〖ドにユ〖ザの钓材を评るメッセ〖ジが山绩される¨

trojan_android_fakenotify_download_ui (36k image)

trojan_android_fakenotify_download_ui (36k image)

　≈next∽ボタンをクリックすると、バックグラウンドでFakeNotifyが木ちに3寥のSMSメッセ〖ジを流慨する。メッセ〖ジは、ロシアの草垛房の排厦戎规に流慨され、笆布のフォ〖マットのテキスト矢机误を崔んでいる¨

• [24 digit string].1/316623

　蝗脱されたSMSの拒嘿は、アプリケ〖ションから虽め哈まれたデ〖タベ〖スファイルに统丸する。

　戮数でユ〖ザが、アプリケ〖ションのダウンロ〖ドを斧ることは痰い。その洛わり、侍のスクリ〖ンが山绩され、碍罢あるものである材墙拉のある、もっと驴くのアプリを捏丁するWebサイトに瞥く¨

trojan_android_fakenotify_download_agreement (32k image)

trojan_android_fakenotify_download_agreement (32k image)

FakeNotifyサンプルのSHA1ハッシュ¨

  •  28fdc27048d7460cda283c83c1276f3c2f443897
  •  f2eb2af5b289f771996546f65a771df80d4e44da
  •  cdc4b430eb6d6e3a9ce4eb4972e808778c0c7fb1

ThreatSolutions post by — Irene and Jessie

′′付矢へのリンク

≈DevilRobber∽のアップデ〖ト惹が判眷

2011钳11奉16泣19:39

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　叉」は≈Backdoor:OSX/DevilRobber∽のアップデ〖ト惹を券斧した。これについては笆涟、淡祸を非很している。

　このアップデ〖ト惹は、赖碰なアプリケ〖ションに刀刘するため、笆涟のものと票屯のテクニックを蝗脱しているが、海搀は≈PixelMator∽と极疚している。

Pixel_mator

　票マルウェアの≈dump.txt∽ファイルによれば、この呵糠惹バックドアは≈Version 3∈v3∷∽とされている。

DevilRobber v3

　≈DevilRobberV3∽に斧られる络きな般いは、芹邵の数恕が佰なり、≈骄丸房の∽ダウンロ〖ダ数及であるという爬にある。

　叉」が尸老した≈DevilRobberV3∽サンプル∈1c49632744b19d581af3d8e86dabe9de12924d3c∷は、FTP Serverサ〖ビスプロバイダからバックドアˇインスト〖ラˇパッケ〖ジをダウンロ〖ドするFTPダウンロ〖ダだ。

　インスト〖ラを艰评するのに、票マルウェアはハ〖ドコ〖ドされたユ〖ザ叹とパスワ〖ドを积つ3つのFTP URLを栏喇するが、これらはプログラムそのものにコ〖ド步されている。パッケ〖ジは≈bin.cop∽という叹で、FTPサ〖バ〖のル〖トフォルダに瘦赂される。

DevilRobberV3 downloader

　芹邵数恕が恃构されていることに裁え、≈DevilRobberV3∽では攫鼠箭礁スクリプトに笆布の恃构がある¨

  •  笆涟のようにスクリ〖ンショットをとらない
  •  笆涟のようにLittleSnitch∈ファイアウォ〖ルアプリケ〖ション∷の赂哼をチェックしない
  •  佰なるロ〖ンチポイント叹を脱いる
  •  シェルコマンド旺悟を箭礁する
  •  1パスワ〖ドコンテンツを箭礁する∈AgileBitsのパスワ〖ドマネ〖ジャ∷
  •  海搀はシステムログファイルも箭礁する

　しかし海搀もBitcoinワレットコンテンツを艰评しようとする。

Threat Solutions post by — Wayne

′′付矢へのリンク

≈DroidKungFu∽がアップデ〖ト苟封を网脱

2011钳10奉25泣15:28

ツイ〖ト

fsecure_corporation

クアラルンプ〖ル券

by¨スレットソリュ〖ションチ〖ム

　叉」は候泣、糠たな炊厉ベクタを蝗脱するとおぼしき≈DroidKungfu∽サンプルに簇する词帽な淡祸を抨蛊した。

　お腆芦奶り、より祷窖弄な拒嘿をご疽拆する。

DroidKungFu, Chinese market

　叉」が尸老しているアプリケ〖ションは≈com.ps.keepaccount∽という叹で、そのコンテンツをざっとチェックしたところ、企、话のことが汤らかになった。

　呵介に斧たところ、オリジナルのアプリケ〖ション∈SHA-1: 5e2fb0bef9048f56e461c746b6a644762f0b0b54∷に≈DroidKungFu∽の函雷は痰い。

DroidKungFu, Original install

　コンテンツとインスト〖ルのパ〖ミッション

　いったんインスト〖ルされると、票アプリケ〖ションはユ〖ザにアップデ〖トが掐缄材墙だと梦らせる。そしてユ〖ザがこれをインスト〖ルすると、アップデ〖トされたアプリケ〖ションは、≈DroidKungFu∽マルウェアで券斧されたのとよく击た纳裁怠墙を惩评する。

　笆布のスクリ〖ンショットは、アップデ〖トプロセスで部が弹きるかを绩している¨

droidkungfu_update1

　オリジナルバ〖ジョンと孺秤して、アップデ〖トされたアプリケ〖ションは、SMSおよびMMSメッセ〖ジと、デバイスのロケ〖ションにアクセスできるよう、さらに2つのパ〖ミッションを妥滇した。

　パ〖ミッションの般いは、アップデ〖トが碍罢あるものかどうかを斧尸ける呵紊の数恕ではないかもしれないが、それでもアプリケ〖ションのアップデ〖トが、侍のパ〖ミッションを妥滇しているかどうか、庙罢し、悼ってみることは紊い数恕だ。

　さらに脚妥なのは、アップデ〖トされたアプリケ〖ションは、ル〖ト涪嘎を评るためにエクスプロイトを蝗脱し、それによりさらに罢哭せぬ乖百が侩乖される材墙拉が栏じることだ。

　呵稿のスクリ〖ンショットで、票アプリケ〖ションが仆脸匿贿したことが绩されている。これはおそらく、この≈DroidKungFu∽の啊硷がまだ≈Android OS version 2.2∽脱のエクスプロイトを蝗脱しており、テストした眉琐は≈Android OS version 2.3∽を蝗脱しているためのエラ〖が付傍だろう。

　笆布は、アップデ〖トされたアプリケ〖ションのソ〖スを绩す、アップデ〖トプロセス面のパケットキャプチャだ¨

droidkungfu_packet_capture

　≈SHA-1: 7cd1122966da7bc4adfabb28be6bfae24072c1c6∽でアップデ〖トされたアプリケ〖ションのコンテンツのクイックビュ〖

droidkungfu_encrypted_apk

　この≈init.db∽ファイルは、悸は≈DroidKungFu∽のスタンドアロンコピ〖で、デ〖タベ〖スファイルではなく、ル〖ト涪嘎を惩评するとアプリケ〖ションがインスト〖ルする芭规步されたAPKファイルだ。

　このアプリケ〖ションが悸狠≈DroidKungFu∽であることを澄千するため、コ〖ドを斧てみよう¨

droidkungfu_verify

　≈WP∽は、ASCII山绩である豺粕のためのキ〖で、コンバ〖トされると≈Deta_C1*T#RuOPrs∽になる。

　构に浮沮を乖ったところ、このアプリケ〖ションが悸狠に≈DroidKungFu∽の啊硷であることが尸かった。叉」はこれを2011钳8奉18泣から、≈Trojan:Android/DroidKungFu.C∽として浮叫している。

　サンプル∈アップデ〖トの涟と稿の尉数∷の浮沮カバレッジをVirusTotalでチェックしたところ、笆布の冯蔡が评られた。极咳を≈DroidKungFu∽にアップデ〖トするオリジナルのアプリケ〖ション¨

droidkungfu_old_vtscan

　そしてアップデ〖トされたアプリケ〖ション¨

droidkungfu_updated_vtscan

Threat Solutions post by /mdash; Zimry, Irene and Yeh

—————

10奉25泣の纳淡¨この淡祸は、スクリ〖ンショットに簇息する拒嘿を饯赖するため、试礁された。すなわち、呵介の眶パラグラフは、このトピックが候泣の淡祸に簇息していることをハッキリさせるため今き木され、リンクはスクリ〖ンショット烧きでVirusTotalのスキャンレポ〖トに弥き垂えられた。

′′付矢へのリンク