Tag Archives: android.claco

Hemos visto en otras ocasiones que el malware para Android intenta infectar los sistemas de Windows. Por ejemplo, Android.Claco descarga un archivo en formato portable ejecutable (PE) malicioso junto con un autorun.inf  y los instala en el directorio origen de la tarjeta SD. Cuando se conecta el dispositivo móvil afectado a una computadora por medio de USB, y el modo AutoRun está habilitado, Windows automáticamente ejecutará el archivo PE malicioso.

Curiosamente, ahora Symantec encontró algo que funciona al revés: es decir, una amenaza de Windows que intenta infectar los dispositivos Android.

La infección comienza con un Troyano que se llama Trojan.Droidpak. Este troyano descarga un DLL malicioso (también detectado como Trojan.Droidpak) y lo registra como un servicio del sistema. Luego, ese DLL descarga un archivo de configuración desde el siguiente servidor remoto:

• http://xia2.dy[REMOVED]s-web.com/iconfig.txt   

Después, analiza el archivo de configuración para poder descargar el APK malicioso a la siguiente ubicación en la computadora afectada:

• %Windir%\CrainingApkConfig\AV-cdk.apk

El DLL podría descargar herramientas necesarias como el Puente de Depuración de Android (Android Debug Bridge).

Luego, instala el ADB y utiliza el comando que se observa en la Figura 1 para instalar el APK malicioso a cualquier dispositivo Android  conectado a la computadora afectada:

Figura 1. Comando para instalar el APK malicioso

Se intenta instalar repetidamente para poder garantizar que el dispositivo móvil se infecte al conectarlo a la computadora. Para una instalación satisfactoria también requiere que el modo de depuración USB esté habilitado en el dispositivo Android.

El APK malicioso es una variante de Android.Fakebank.B y se presenta como una aplicación de la tienda de aplicaciones de Google.

Figura 2. APK malicioso simulado en la tienda de aplicaciones de Google.

Sin embargo, el APK malicioso en realidad busca ciertas aplicaciones de transacciones bancarias coreanas en el dispositivo afectado y, si las encuentra, provoca que el usuario las borre e instale versiones maliciosas. Android Fakebank.B también intercepta mensajes SMS y los envía a la siguiente ubicación:

• http://www.slmoney.co.kr[REMOVED]

Figura 3. Fragmento del código APK malicioso

Para evitar ser víctima de este nuevo modo de infección, Symantec sugiere a los usuarios seguir las siguientes indicaciones:

• Desactivar la depuración USB de su dispositivo Android cuando no la utilice.
• Ser cauteloso cuando conecte su dispositivo móvil a computadoras no confiables.
• Instalar software de seguridad confiable, como Norton Mobile Security.
• Visitar la página de Symantec Mobile Security para obtener más información sobre seguridad.

Windows システムへの感染を試みる Android マルウェアについては、以前にお伝えしたことがあります。たとえば Android.Claco は、autorun.inf ファイルと一緒に悪質な PE ファイルをダウンロードして SD カードのルートディレクトリに配置します。感染したモバイルデバイスが USB モードでコンピュータに接続されたときに、そのコンピュータで AutoRun 機能が有効になっていると、Windows は自動的に悪質な PE ファイルを実行してしまいます。

シマンテックが最近発見した例は、これと逆方向の動作をするという点で注目に値します。Windows 上の脅威が Android デバイスへの感染を試みるのです。

感染の段階は、Trojan.Droidpak という名前のトロイの木馬から始まります。Trojan.Droidpak は悪質な DLL（これも Trojan.Droidpak として検出されます）を投下し、システムサービスとして登録します。この DLL が以下のリモートサーバーから設定ファイルをダウンロードします。

• http://xia2.dy[削除済み]s-web.com/iconfig.txt

次に、侵入先のコンピュータの以下の場所に悪質な APK をダウンロードするために、設定ファイルを解析します。

• %Windir%\CrainingApkConfig\AV-cdk.apk

DLL は、Android Debug Bridge（ADB）などの必要なツールもダウンロードします。

次に ADB をインストールし、図 1 に示したコマンドを使って、侵入先のコンピュータに接続されている Android デバイスに悪質な APK をインストールします。

図 1. 悪質な APK をインストールするコマンド

接続時にモバイルデバイスに感染したことが確認されるまで、インストールは何度も試行されます。インストールに成功するには、Android デバイスで USB デバッグモードが有効になっている必要もあります。

この悪質な APK は Android.Fakebank.B の亜種であり、Google App Store という名前のアプリに偽装しています。

図 2. Google App Store という名前に偽装した悪質な APK

実際には、悪質な APK は侵入先のデバイス上で韓国の特定のオンラインバンキング用アプリを探し、アプリが見つかった場合にはユーザーにそれを削除して悪質なバージョンをインストールするよう求めます。また、Android.Fakebank.B は、侵入先のデバイスで SMS メッセージを傍受して、以下の場所に送信します。

• http://www.slmoney.co.kr[削除済み]

図 3. 悪質な APK のコードの抜粋

この新しい感染経路による被害に遭わないために、以下の基本的なセキュリティ対策（ベストプラクティス）に従うことをお勧めします。

• Android デバイスで USB デバッグを使わないときには機能を無効にしておく。
• 信頼できないコンピュータにモバイルデバイスを接続する場合には注意する。
• ノートン モバイルセキュリティなど、信頼できるセキュリティソフトウェアをインストールする。
• モバイルセキュリティの Web サイト（英語）で、安全性に関する一般的なヒントを参照する。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

We’ve seen Android malware that attempts to infect Windows systems before. Android.Claco, for instance, downloads a malicious PE file along with an autorun.inf file and places them in the root directory of the SD card. When the compromised mobile device is connected to a computer in USB mode, and if the AutoRun feature is enabled on the computer, Windows will automatically execute the malicious PE file.

Interestingly, we recently came across something that works the other way round: a Windows threat that attempts to infect Android devices.

The infection starts with a Trojan named Trojan.Droidpak. It drops a malicious DLL (also detected as Trojan.Droidpak) and registers it as a system service. This DLL then downloads a configuration file from the following remote server:

http://xia2.dy[REMOVED]s-web.com/iconfig.txt

It then parses the configuration file in order to download a malicious APK to the following location on the compromised computer:

%Windir%\CrainingApkConfig\AV-cdk.apk.

The DLL may also download necessary tools such as Android Debug Bridge (ADB).

Next, it installs ADB and uses the command shown in Figure 1 to install the malicious APK to any Android devices connected to the compromised computer:

Figure 1. Command to install the malicious APK

The installation is attempted repeatedly in order to ensure a mobile device is infected when connected. Successful installation also requires the USB debugging Mode is enabled on the Android device.

The malicious APK is a variant of Android.Fakebank.B and poses as a Google APP Store application.

Figure 2. Malicious APK posing as Google APP Store

However, the malicious APK actually looks for certain Korean online banking applications on the compromised device and, if found, prompts users to delete them and install malicious versions. Android.Fakebank.B also intercepts SMS messages on the compromised device and sends them to the following location:

http://www.slmoney.co.kr[REMOVED]

Figure 3. Malicious APK code snippet

To avoid falling victim to this new infection vector, Symantec suggests users follow these best practices:

• Turn off USB debugging on your Android device when you are not using it
• Exercise caution when connecting your mobile device to untrustworthy computers
• Install reputable security software, such as Norton Mobile Security
• Visit the Symantec Mobile Security website for general safety tips