Mobile RATによる攻撃

今回のセキュリティブログのテーマは...「ネズミ駆除」?

インターネットセキュリティに多少なりとも関心のある人なら、リモートアクセスツール (RAT―ネズミではありません!)がインターネットにとって目新しいものではないことをご存じでしょう。RATのコンセプト自体はとりたてて新しくはありませんが、RATの影響について考えるたびに頭がおかしくなるような気がします。

RATの「ブリーダー」たちについて、そして彼らがコメントを投稿し、被害者を増やし、そして「スレーブ」の情報を「漏らして」いることについて、アーツテクニカ(Ars Technica)が今年のはじめに大変興味深い記事を紹介しており、RATがいかに「個人的な」攻撃であるかをうかがい知ることができます(彼らはユーモアのセンスもあるようで、別のサイトではむかつく「被害者」をからかう様子を投稿しています)。

スマートフォンという誰もが利用可能なスパイデバイスがこの攻撃の標的にされるのは当然かつ時間の問題でした。

AndroRATとMobile RATは何が違うか?

Mobile RATでも似たようなケースが見られましたが、AndroRATを使用すると、もっと簡単にAndroidハッカーになることができます。

AndroRat自体はオープンソースであるためオンラインですぐに入手できますが、アンダーグラウンドフォーラムでは、正規のアプリケーションにAndroRatを再パッケージできるツールが話題になっています。これらのツールは「バインダー」と呼ばれ、正常なアプリケーションにトロイの木馬を仕掛けることができます。YouTubeで宣伝しているように、バインダーはわずか37ドルで販売されているのです。以下のスクリーン・ショットは、Hackforumsで紹介されているバインダー販売のスレッドです。

お暇な方はスレッドを読んでみてください―購入者からの興味深い質問や要望が書かれていることがわかるでしょう。なかには、Google AppsにAndroRatをバインドできるか、という質問もあります。


図 : アンダーグラウンドで販売されているAndroRATバインダーのスレッド

バインダーの行動は?

  • 1. AndroRatと正規のアプリケーションを合わせて通常のパッケージにすることで、トロイの木馬を仕掛けます。トロイの木馬に感染したアプリの例をいくつかご紹介します。
    • ゲーム : 「Angry Birds」「プラントvsゾンビ」「Worms Armageddon 3」
    • タスク管理アプリ : 「Smart System Info」「Advanced Task Manager」
    • 「PG Calculator Pro」
    • 「IAP Cracker」
    • 「TuneIn Radio」

    (これらのアプリを利用したことがある方は、警戒が必要なAndroRATに関連するサービス、「my.app.client.Client」をスマートフォンで実行させたことがあるはずです)

  • 2. AndroRATが接続している攻撃者のIPアドレスを特定します。

スマートフォンがウイルスに感染したら?

すぐに気づくでしょうか?いいえ、まったく気づかないうちに感染しているのです。
スマートフォンの電源を入れるたびに、マルウェアもひそかに起動されます。さらに、攻撃者は被害者の電話をコントロールし、以下のようなことを実行することもできるでしょう。

  • ウイルスに感染した電話に、警告を表示する
  • カメラを起動し、写真を撮り、攻撃者に送信する
  • ウイルスに感染した電話を振動させる
  • ブラウザを開き、特定のURLを表示する
  • ウイルスに感染した電話から通話発信する
  • ウイルスに感染した電話から、何も表示せずにショートメッセージを送信する
  • 通話とショートメッセージを監視する
  • 通話とショートメッセージのログを検索する
  • 連絡先を検索する
  • 被害者の電話から攻撃者のサーバにファイルをダウンロードする

AndroRatによってトロイの木馬が仕掛けられたAngry Birdsのアプリが、リモートサーバからの指示でさまざまな機能を実行する様子を示した映像

Reverse NaM(番号割り当てモジュール)のおかげで、デモの設定中に、決定的ではないものの大きなエラーを検出することができます。

フォーティネットによる対策は?

現在、フォーティネットでは、Android/AndroRat.A!tr.spyとして検出されたRATに対して100以上のシグネチャを作成しています―詳細についてはThreat Encyclopedia Descriptionをご覧ください。どのサンプルも、androratと呼ばれるプロジェクトのコードを使用しています。このプロジェクトは、もともと大学の研究プロジェクトとして数名の学生が開発したものです。

自宅でパソコンや携帯電話を使用するときは、クローゼットやベッドの下以外にもモンスターが潜んでいないかどうか警戒してください!