Tag Archives: Android.Dandro

Android ? RAT ???????? Dendroid

      No Comments on Android ? RAT ???????? Dendroid

ダーウィンの進化論を支える原理のひとつは、変化への適応能力が個体の生存率を高めるという説です。マルウェアの作成者も似たようなもので、技術的な環境や市場が変化するなかで生き残るためには、それらに適応していかなければなりません。以前のブログで、Android 版のリモートアクセスツール(RAT)、AndroRAT(Android.Dandro)と、初のマルウェア APK バインダと考えられる機能についてお伝えしました。それ以来、脅威を取り巻く世界では、こうした脅威の模倣と進化が繰り返されています。なかでも、アンダーグラウンドフォーラムで波紋を広げているのが、Dendroid(Android.Dendoroid)と呼ばれる脅威です。Dendroid という名前には、樹木のような形、あるいは枝分かれする構造という意味があります。

Dendroid_Fig1_0.png

図 1. Dendroid の広告バナー

Dendroid は、ユーザーインターフェースやファームウェアインターフェースがわかりやすいとして出回っている HTTP RAT で、洗練された PHP パネルを備え、アプリケーション APK バインダがパッケージされています。Dendroid で使われている APK バインダには、元の AndroRAT APK バインダの作成者との関連性が見られます。

Dendroid_Fig2_0.png

図 2. Dendroid のコントロールパネル

アンダーグラウンドフォーラムの投稿によると、Dendroid の公式な販売者は「Soccer(サッカー)」と呼ばれています。Soccer は、前例のない豊富な機能と、24 時間 365 日のサポート体制を Dendroid の売りとしており、BTC、LTC、BTC-e、またはその他の決済方法による 300 ドル 1 回払いで販売しています。多様な機能の一部を以下に挙げます。

  • 通話記録を削除する
  • 電話番号に電話を掛ける
  • Web ページを開く
  • 通話などの音声を録音する
  • テキストメッセージを傍受する
  • 写真や動画を撮影してアップロードする
  • アプリケーションを開く
  • 一定期間、HTTP フラッド(DoS)攻撃を開始する
  • コマンド & コントロール(C&C)サーバーを変更する

Dendroid_Fig3_0.png

図 3. Dendroid APK バインダ

上述したように、アンダーグラウンドフォーラムの報告によると、このパッケージに含まれる Dendroid APK バインダは、この APK バインダを作成する際に、元の AndroRAT APK バインダの作成者の力を借りていました。

Android プラットフォームで、リモートアクセスツールの進化はいわば必然でした。Dendroid が作成され、この種の脅威がアンダーグラウンドフォーラムで歓迎されていることから、このようなツールを強力に求めるサイバー犯罪者の市場の存在が裏付けられています。PC プラットフォームでも、Zeus(Trojan.Zbot)や SpyEye(Trojan.Spyeye)といったクライムウェアツールキットは、似たような経緯で始まりました。そして、その使い安さから人気が急上昇し、これを使って実行された犯罪の知名度により悪名を馳せるようになったのです。Dendroid はまだ始まったばかりですが、シマンテックはこれを厳重に監視していく予定です。

常に安全を保つために、ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。ノートン モバイルセキュリティは、この脅威を Android.Dendoroid として検出します。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Android RATs Branch out with Dendroid

      No Comments on Android RATs Branch out with Dendroid

Darwinism is partly based on the ability for change that increases an individual’s ability to compete and survive. Malware authors are not much different and need to adapt to survive in changing technological landscapes and marketplaces. In a previous blog, we highlighted a free Android remote administration tool (RAT) known as AndroRAT (Android.Dandro) and what was believed to be the first ever malware APK binder. Since then, we have seen imitations and evolutions of such threats in the threat landscape. One such threat that is making waves in underground forums is called Dendroid (Android.Dendoroid), which is also a word meaning something is tree-like or has a branching structure.

Dendroid_Fig1_0.png

Figure 1. Dendroid advertisement banner

Dendroid has some links to the author of the original AndroRAT APK binder and is a HTTP RAT that is marketed as being transparent to the user and firmware interface, having a sophisticated PHP panel, and an application binder package.

Dendroid_Fig2_0.png

Figure 2. Dendroid control panel

According to postings on underground forums, the official seller of Dendroid is known as “Soccer.” The seller markets Dendroid as offering many features that have never been seen before and comes with 24/7 support, all for a once off payment of $300 to be paid through PayPal, BTC, LTC or BTC-e.  Some of the many features on offer include the following:

  • Delete call logs
  • Call a phone number
  • Open Web pages
  • Record calls and audio
  • Intercept text messages
  • Take and upload photos and videos
  • Open an application
  • Initiate a HTTP flood (DoS) for a period of time
  • Change the command-and-control (C&C) server

Dendroid_Fig3_0.png

Figure 3. Dendroid APK binder

As previously mentioned, according to reports on underground forums, the author of the Dendroid APK binder included with this package had assistance writing this APK binder from the author of the original AndroRAT APK binder.  

The evolution of remote access tools on the Android platform was inevitable. The creation of Dendroid and the positive feedback on underground forums for this type of threat shows that there is a strong cybercriminal marketplace for such tools. On the PC platform, other crimeware toolkits like Zeus (Trojan.Zbot) and SpyEye (Trojan.Spyeye) started off in a similar manner and grew quickly in popularity due to their ease of use and notoriety stemming from the high profile crimes perpetrated as a result of their usage. While this may be early days for Dendroid, Symantec will be keeping a close eye on this threat.

To stay protected, Symantec recommends installing a security app, such as Norton Mobile Security, which detects this threat as Android.Dendoroid. For general safety tips for smartphones and tablets, please visit our Mobile Security website.

Android APK ???????????????????????????

      No Comments on Android APK ???????????????????????????

先日のブログでお伝えしたように、Java で記述されているために複数のオペレーティングシステムで実行できるリモートアクセスツール(RAT)の活動が活発化しています。Android オペレーティングシステムが急速に普及している状況で、Android OS が最新の標的となり、RAT に対して無防備なのは当然です。アンダーグラウンドフォーラムでは、昨年の終わり頃から AndroRAT(Android.Dandro)として知られる無償の Android 版 RAT が公開されています。そして最近、AndroRAT を使って簡単に正規のアプリを再パッケージ化し、トロイの木馬を仕掛けることのできるツールが初めて登場しました。アンダーグラウンド経済がサイバー犯罪者の需要に応えようとすることを考えれば、これも当然の流れでしょう。
 

figure1.png

図 1. 世界最初のバインダを謳ってアンダーグラウンドで販売されている「バインダ」ツール

オープンソースの Android 版 RAT である AndroRAT が公開され、インターネット上で誰でも入手できるようになったのは、2012 年 11 月のことです。他の RAT と同様に AndroRAT でも、攻撃者はわかりやすいコントロールパネルを使って侵入先のデバイスを制御できます。たとえば、デバイス上で実行されている AndroRAT は、電話をかけたり監視したりするほか、SMS メッセージを送信する、デバイスの GPS 座標を取得する、カメラとマイクを有効化して利用する、デバイスに保存されたファイルにアクセスするといったことが可能です。
 

figure2_HL.png

図 2. AndroRAT のコントロールパネル
 

RAT は、Android の標準アプリケーションフォーマットである APK の形で提供されます。AndroRAT APK バインダと組み合わせて使えば、専門知識の乏しい攻撃者でも AndroRAT を使って簡単に、正規の Android アプリに感染するプロセスを自動化し、トロイの木馬を仕掛けることができます。トロイの木馬を仕掛けられた正規のアプリがデバイスにインストールされると、ユーザーは何も知らずに、目的の正規アプリとともに AndroRAT もインストールすることになります。攻撃者は、ユーザーを欺いて Android セキュリティモデルの機能をすり抜けられるわけです。シマンテックは現在までに、人気のある 23 種類の正規アプリが AndroRAT によって実際にトロイの木馬を仕掛けられていることを確認しています。

これに続いて、シマンテックは有償版の Java RAT も確認しています。これが Adwind(Backdoor.Adwind)で、すでに複数のオペレーティングシステムに対応しているうえに、AndroRAT のオープンソースコードに基づいて Android モジュールを取り込みつつあるようです。有償版のこの RAT にも、リモートで RAT を管理制御できるグラフィカルユーザーインターフェースが装備されています。

 

figure3LOB.png

図 3. Adwind のメインコントロールパネル
 

Adwind が Android で動作するところを解説したデモンストレーション用ビデオでも、感染したデバイス上に AndroRAT が存在していることが示され、Adwind の作成者が AndroRAT ツールをカスタマイズして Adwind に取り込んでいる可能性が示唆されています。AndroRAT のコードが、カスタマイズして新しい脅威やツールを簡単に作成できるというオープンソースの性質を備えている以上、こうした展開もなんら不思議なことではありません。
 

figure4_HL_600pxw.png

図 4. 感染したデバイス上に AndroRAT が存在することを示す Adwind のビデオからのスクリーンショット

シマンテックの現在の遠隔測定によると、米国とトルコが最も頻繁に Android.Dandro の標的になっています。感染数は全世界でも数百件どまりですが、遠隔測定では、最近になって感染数が増えていることも報告されています。AndroRAT 用のツールがますます流通し高機能になっていることを考えれば、増加傾向は今後も続くものとシマンテックは予測しています。
 

figure5LOB.png

図 5. 感染の分布図
 

リモートアクセスツールの進化が Android プラットフォームに向かうことは、以前から予期されていました。AndroRAT は今のところ、それほど高機能ではなさそうですが、コードがオープンソースであり人気も高くなっている以上、さらに深刻な脅威に発展する恐れは十分にあります。

この脅威を Android.Dandro として検出する、ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Remote Access Tool Takes Aim with Android APK Binder

      No Comments on Remote Access Tool Takes Aim with Android APK Binder

In a previous blog, we talked about the rise of remote access tools (RAT) written in Java that are capable of running on multiple operating systems. With the growing popularity of the Android operating system, it comes as no surprise that the Android O…