AlligatorがGPS情報を流出させるアドウェアを検出

この数か月間、私たちはParisTechという通信会社の研究者が開発したデータマイニングエンジンを使用し、チューニングを行っていました。このツールにはAlligator(ワニ)という名前が付いています。ワニは飢えた動物だからです(「_AnaLyzing maLware wIth partitioninG and probAbiliTy-based algORithms_」の略という意味も少しあります)。クローリング、プロパティ抽出、レポートを行う当ラボのアーキテクチャに組み込んでいるのですが、このエンジンは大量のAndroidアプリケーションのなかから不審なパッケージを見つけ出してくれます。

先日、当ラボのフレームワークのチューニングを行っていると、AlligatorがYoungsterZZ2B42BAndroid.apk(Android用若者向けポータル)という非常に怪しげなアプリケーションを検出しました。実は私はこのアプリケーションは不正なものではないと思っていたので、なぜAlligatorがこれを検出したのか調べてみました。

まず、「falsepositives.txt」という未処理のリソースがパッケージ内に入っていることがおもしろいと思いました。このテキストファイルは、このアプリケーションがきちんとした開発環境を使用していることを説明しています。

「銀行、米国政府/軍事部門などの信用のある組織が私たちのツールを使用しています」

そしてプラットフォームのコードは、

「100%マルウェア/スパイウェア/ウイルスには感染していません」

そうでしょうか? バージョン0.84.13498.72181に関しては少し疑ってみましょう。特に下のスクリーンショットは、このアプリケーションがGPSの経度と緯度をクリアテキストでこの環境のアドサーバーへ送信していることを示しています。お子さんの場所を追跡したい親御さんには都合が良いですね。


図1. このツールはIMEI(hid)、GPSの経度(tlon)、緯度(tlat)をクリアテキストで送信しています。私のケースでは、Androidのエミュレータが貴重な情報を開示しませんでした。

「銀行、米国政府/軍事部門などの信用のある組織」もGPS座標がクリアテキストでインターネットを介して送信されていることを承知していれば良いのですが...。

この会社の意図としては悪意があるようには思えないため、当ラボではこのようなサンプルをAdware/Geyser!Androidとして検出しています。発信元が違っていたら、間違いなくトロイの木馬系スパイウェアとして分類していたでしょう。

いつも正確なAlligatorに感謝です。

- the Crypto Girl.