Android DroidKungFuの亜種の分類

Android端末向けトロイの木馬DroidKungFuは現在までに、Pr. Xuxian Jiang(および調査チーム)Lookout(英語)によって5つの亜種が見つかっています。これらの亜種の区別がよくわからない人のために、5つの亜種の相関関係を図にしてみました。

5つすべての亜種の類似点と相違点が以下に図示されています。角の丸い四角はそれぞれ亜種を表しており、重なっている部分の数字は共有されているメソッドの正確な数を意味します。*

すべての亜種が同じ不正コマンド(CMDの四角)を共有します。これらの亜種は新しいパッケージをダウンロードしてインストールし、アクティビティと呼ばれるプログラムを開始し、指定されているURLをブラウザで開くか、パッケージを削除します。** これを行うために、これらの亜種は3つの同じWebサーバ(URLの四角)にアクセスします。ただし、亜種Aは単一のリモートWebサーバにアクセスします。

相違点は、主に、検体が攻撃コードを使用するかどうか(黄色と赤色のナイフ)、不正な機能がネイティブに実装されているかどうか(茶色の円または緑色の四角)、一部のペイロードがAESを使用して暗号化されているかどうか(斜線入りの四角)と使用する鍵です。注意すべき点として、亜種Eは、他と異なり、いくつかの文字列を暗号化してコードを難読化しています(/system/bin/chmod 4755、WebView.db.initなど)。

ファイル名の再使用や証明書への署名など、他のいくつかの類似点について、この図では示していません。たとえば、ネイティブコードは通常WebView.db.initという名前のファイルに格納されており、証明書に関しては、亜種A、B、およびCが同じ自己署名のGoogle証明書によって署名されており、亜種DおよびEは独自の証明書を使用しています。

参考資料:リンク先は英語サイトです。

- the Crypto Girl

* Androguardからのandrosim.pyを使用して計算されています。
** 実際には、亜種Aは5つ目のコマンド(execHomepage)を備えていますが、「未サポート」として実装されています。