暴徒がPCを攻撃

Android/Claco.A!trは、PCに感染するユニークな機能で先日話題になった、新たなモバイルマルウェアです。
このタイプの攻撃ベクターは以前、Symbian OSで見たことがありますが(SymbOS/CardTrap)、Androidプラットフォームでは初めてでしょう。

今回の不正パッケージはSuperCleanDroidCleanerという名前になっており、電話の速度を高めるアプリケーションを装っています。
コードを見てみると、電話の速度を高めるために使われている「戦略」は主に実行中のアプリケーションを再起動させることであることがわかりました。

ボットネット機能:

このアプリケーションはバックグラウンドで、C&Cサーバを使って感染した端末を登録し、コマンドを待ちます。
これらのコマンドに応じて、マルウェアが以下の役割を実行します。

  • 電話をかけたり、C&Cから受け取った指示の入ったSMSメッセージを送信する
  • AndroidやDropboxの認証情報を盗む(図1と図2を参照)
  • ディレクトリのリストとファイルをC&Cへアップロード
  • SMSの記録と連絡先情報をC&Cへアップロード
  • 特定の番号からのSMSメッセージを削除
  • 端末をリブート
  • WiFiの状態を切り替える
  • Ringerの状態を変更

などです。

Androidの認証情報を盗み出す
図1:Androidの認証情報を盗み出す

Dropboxの認証情報を盗み出す
図2:Dropboxの認証情報を盗み出す

PCへの感染経路:

しかし、こうした機能のなかで最も興味深いのがusb_autorun_attackです。
このコマンドを受け取ると、マルウェアはautorun.inffolder.icosvchosts.exeというファイルを電話の外部SDカードへダウンロードします。
もうお分かりかと思いますが、これらは広く知られたWindowsのシステムファイルの名前です。

autorun.infは、電話とPCがUSBで接続している時に、ファイルをPCへ転送するために使用されるファイルです。
この感染手法は、Windowsの新しいバージョンではそれほど効果はありませんが、Windowsの古いバージョンを実行しているマシン上では、現在も効果を発揮します。

ダウンロードされたファイルの機能を見てみた限り、マルウェア作成者の意図は被害をもたらすことよりも、この新たな攻撃ベクターの効果と有効性を調べることであるというのが私の仮定です。

結論:

  • 今後、この攻撃ベクターを利用した他のマルウェアが出てくる可能性があります。
  • このような攻撃ベクターを利用すると、PCおよび電話両方から被害者のデータを入手することができるため、アタッカーには都合が良い可能性があります。2要素認証に使われるSMSメッセージを傍受するということになれば、これは特に興味深いものになります。例えば、銀行のトークンやワンタイムパスワードを盗み出したり、さらにはGmailのようなサービス(2段階認証が有効になっている場合)を乗っ取ったりする際に使うこともできます。
  • さらに、サイバー犯罪者たちがバンキングの認証情報を盗むためにこれを用いれば、「reverse Zitmo」と同種の増殖システムが実行される可能性があります。

こうした不正行為のニュースが明らかになって以来、これらのアプリケーションはGoogle Playストアから消され、C&Cサーバはダウンしています。

サンプルを提供してくれたVictor ChebyshevとMila Parkourに感謝します。