Androidマルウェアでフィッシング

先週、モバイル攻撃における新たな攻撃ベクトルが見つかり、セキュリティ界が騒然としました。今回のマルウェアは、ハッキングされたある活動家のメールアカウントからチベットの人権運動家および活動家たちのメールアカウントへ送信されました。メールは2013年3月11日から13日までジュネーブで開催された世界ウイグル会議(WUC)に関するものでした。

このマルウェアが興味深いのは標的型攻撃であったということです。つまりサイバー戦争の政治的側面が再度強調され、政府機関や合法的な団体がこうした攻撃の源になりうるのか、という疑念を私たちに抱かせたのです。

スマートフォンの出現とそれに続くモバイルマルウェアの登場は、オールインワンのスパイソリューションを活用する機会をアタッカーたちに与えてしまいました。最近の電話にはたいてい、マイク、カメラ、GPS、インターネットアクセスが標準装備されており、スパイ活動に必要なものすべてをアタッカーに与えているというわけです。

今回のマルウェアの動作は以下のとおりです。

インストールされると、メインメニューに「Conference」というアプリケーションが表示されます(図1のとおり)。


図1:Conferenceという名のアプリケーション

アプリケーションを起動すると図2のように、WUCの会議に関するメッセージが表示されます。


図2:アプリケーションのメイン画面

エンドユーザーが実際に目にするものはこれだけです。このアプリケーションは被害者から隠れた状態で不正行為を行います。

SMS情報、電話およびSIMカード上の連絡先、位置情報、通話記録といったデータを被害者の電話から回収し、アタッカーのサーバへ送信します。該当キーワードの入ったSMSメッセージを受信すると、これらの情報の送信が実行されます。受信するSMSメッセージも監視され、受信時にアタッカーのサーバへ転送されます。

フォーティネットではこのマルウェアをAndroid/Chuli.A!tr.spy(回収データをアタッカーのサーバへ送信する機能、chuli()から名づけたもの)として検出しています。詳細は解説ページでご覧いただけます。

マルウェアが実行される様子は下記URLからご覧いただけます。
http://www.youtube.com/watch?v=mDChxHnFnLw

アタッカーのサーバを探ってみると、似たような種類の別のパッケージが見つかりました。

2つのサンプルには以下のような違いが見られました。

  • アプリケーション名と外見:サーバ上に表示されるパッケージ名は「test」となっており、上記のパッケージに含まれていた英語メッセージ(図2)とは対照的に、中国語のメッセージが含まれていました(図3参照)。
  • 通話記録回収:サーバのパッケージには通話記録を回収する機能は含まれていません。
  • 別の変数:サーバのパッケージにはもう1つ、「hunan」という値で初期化された「passwd」という変数が入っていましたが、これはコード内では使われていません。


図3:アタッカーのサーバで見つかった別バージョンのマルウェア

なぜアタッカーはBase64のエンコードにAndroidの標準的ライブラリ「android.util.Base64」ではなく、ライブラリ「it.sauronsoftware.base64」を使ったのか、というのは考えてみる価値がありそうです。どなたかわかりますか?