First of all, I would like to shift your attention a bit backwards. No worries! This is no history lesson or something from the ancient past. Rather, I would like to share with you folks some Android statistics from the last two years. Hopefully, it will give you a better idea about which malware is […]
First of all, I would like to shift your attention a bit backwards. No worries! This is no history lesson or something from the ancient past. Rather, I would like to share with you folks some Android statistics from the last two years. Hopefully, it will give you a better idea about which malware is […]
Hemos visto en otras ocasiones que el malware para Android intenta infectar los sistemas de Windows. Por ejemplo, Android.Claco descarga un archivo en formato portable ejecutable (PE) malicioso junto con un autorun.inf y los instala en el directorio origen de la tarjeta SD. Cuando se conecta el dispositivo móvil afectado a una computadora por medio de USB, y el modo AutoRun está habilitado, Windows automáticamente ejecutará el archivo PE malicioso.
Curiosamente, ahora Symantec encontró algo que funciona al revés: es decir, una amenaza de Windows que intenta infectar los dispositivos Android.
La infección comienza con un Troyano que se llama Trojan.Droidpak. Este troyano descarga un DLL malicioso (también detectado como Trojan.Droidpak) y lo registra como un servicio del sistema. Luego, ese DLL descarga un archivo de configuración desde el siguiente servidor remoto:
Después, analiza el archivo de configuración para poder descargar el APK malicioso a la siguiente ubicación en la computadora afectada:
El DLL podría descargar herramientas necesarias como el Puente de Depuración de Android (Android Debug Bridge).
Luego, instala el ADB y utiliza el comando que se observa en la Figura 1 para instalar el APK malicioso a cualquier dispositivo Android conectado a la computadora afectada:
Figura 1. Comando para instalar el APK malicioso
Se intenta instalar repetidamente para poder garantizar que el dispositivo móvil se infecte al conectarlo a la computadora. Para una instalación satisfactoria también requiere que el modo de depuración USB esté habilitado en el dispositivo Android.
El APK malicioso es una variante de Android.Fakebank.B y se presenta como una aplicación de la tienda de aplicaciones de Google.
Figura 2. APK malicioso simulado en la tienda de aplicaciones de Google.
Sin embargo, el APK malicioso en realidad busca ciertas aplicaciones de transacciones bancarias coreanas en el dispositivo afectado y, si las encuentra, provoca que el usuario las borre e instale versiones maliciosas. Android Fakebank.B también intercepta mensajes SMS y los envía a la siguiente ubicación:
Figura 3. Fragmento del código APK malicioso
Para evitar ser víctima de este nuevo modo de infección, Symantec sugiere a los usuarios seguir las siguientes indicaciones:
Windows システムへの感染を試みる Android マルウェアについては、以前にお伝えしたことがあります。たとえば Android.Claco は、autorun.inf ファイルと一緒に悪質な PE ファイルをダウンロードして SD カードのルートディレクトリに配置します。感染したモバイルデバイスが USB モードでコンピュータに接続されたときに、そのコンピュータで AutoRun 機能が有効になっていると、Windows は自動的に悪質な PE ファイルを実行してしまいます。
シマンテックが最近発見した例は、これと逆方向の動作をするという点で注目に値します。Windows 上の脅威が Android デバイスへの感染を試みるのです。
感染の段階は、Trojan.Droidpak という名前のトロイの木馬から始まります。Trojan.Droidpak は悪質な DLL(これも Trojan.Droidpak として検出されます)を投下し、システムサービスとして登録します。この DLL が以下のリモートサーバーから設定ファイルをダウンロードします。
次に、侵入先のコンピュータの以下の場所に悪質な APK をダウンロードするために、設定ファイルを解析します。
DLL は、Android Debug Bridge(ADB)などの必要なツールもダウンロードします。
次に ADB をインストールし、図 1 に示したコマンドを使って、侵入先のコンピュータに接続されている Android デバイスに悪質な APK をインストールします。
図 1. 悪質な APK をインストールするコマンド
接続時にモバイルデバイスに感染したことが確認されるまで、インストールは何度も試行されます。インストールに成功するには、Android デバイスで USB デバッグモードが有効になっている必要もあります。
この悪質な APK は Android.Fakebank.B の亜種であり、Google App Store という名前のアプリに偽装しています。
図 2. Google App Store という名前に偽装した悪質な APK
実際には、悪質な APK は侵入先のデバイス上で韓国の特定のオンラインバンキング用アプリを探し、アプリが見つかった場合にはユーザーにそれを削除して悪質なバージョンをインストールするよう求めます。また、Android.Fakebank.B は、侵入先のデバイスで SMS メッセージを傍受して、以下の場所に送信します。
図 3. 悪質な APK のコードの抜粋
この新しい感染経路による被害に遭わないために、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
We’ve seen Android malware that attempts to infect Windows systems before. Android.Claco, for instance, downloads a malicious PE file along with an autorun.inf file and places them in the root directory of the SD card. When the compromised mobile device is connected to a computer in USB mode, and if the AutoRun feature is enabled on the computer, Windows will automatically execute the malicious PE file.
Interestingly, we recently came across something that works the other way round: a Windows threat that attempts to infect Android devices.
The infection starts with a Trojan named Trojan.Droidpak. It drops a malicious DLL (also detected as Trojan.Droidpak) and registers it as a system service. This DLL then downloads a configuration file from the following remote server:
http://xia2.dy[REMOVED]s-web.com/iconfig.txt
It then parses the configuration file in order to download a malicious APK to the following location on the compromised computer:
%Windir%\CrainingApkConfig\AV-cdk.apk.
The DLL may also download necessary tools such as Android Debug Bridge (ADB).
Next, it installs ADB and uses the command shown in Figure 1 to install the malicious APK to any Android devices connected to the compromised computer:
Figure 1. Command to install the malicious APK
The installation is attempted repeatedly in order to ensure a mobile device is infected when connected. Successful installation also requires the USB debugging Mode is enabled on the Android device.
The malicious APK is a variant of Android.Fakebank.B and poses as a Google APP Store application.
Figure 2. Malicious APK posing as Google APP Store
However, the malicious APK actually looks for certain Korean online banking applications on the compromised device and, if found, prompts users to delete them and install malicious versions. Android.Fakebank.B also intercepts SMS messages on the compromised device and sends them to the following location:
http://www.slmoney.co.kr[REMOVED]
Figure 3. Malicious APK code snippet
To avoid falling victim to this new infection vector, Symantec suggests users follow these best practices:
Last year, on Christmas day, over 17 million new mobile devices went online. Before the ribbons and wrapping paper could be discarded, cybercrooks started their attacks. In the first half of this year, experts said that 79 percent of all mobile malware attacks were on Android systems. When we asked Ondrej Vlček, AVAST’s Chief Technology […]
最近、デバイスが「Trojan: MobileOS/Tapsnake」という脅威に感染していると思い込ませてユーザーを脅そうとする一連のモバイル広告が確認されています。
図 1. Tapsnake への感染を通知する偽の警告
このマルウェア感染警告は偽物です。Tapsnake は Android を狙う比較的古い脅威(シマンテックでは 2010 年にブログでこの脅威について報告しており、Android.Tapsnake として検出します)で、この種の広告の信憑性を高めるために、広告の中でたまたま名前が使われているだけです。シマンテックでは、新品の Android デバイスを使って、この広告を提供するサイトにアクセスしてみました。このデバイスは初期インストールの状態で、他に何も追加されていませんでしたが、それでもこの警告が表示されました。この脅威は iOS デバイスを標的にはしていませんが、Apple 社の iPhone ユーザーからも Tapsnake 警告が表示されたという報告があります。
図 2. Android ユーザーを標的にしたスケアウェアの手口
この種の警告はたいてい、元々 PC を狙っていたスケアウェアに関連しています。スケアウェアの Web サイトにアクセスすると、コンピュータやデバイスがマルウェアに感染しているという警告が表示されます。このようなスケアウェアサイトが、偽のウイルス対策ソフトウェアの無料ダウンロードを提供している場合もあります。
これはすべて、ユーザーにアプリをダウンロードさせるための策略です。
図 3. Android 用の偽ウイルス対策アプリの提供
信頼できるアプリストア以外からアプリをインストールしないようにしてください。また、Google Play アプリストアで提供されているノートン モバイルセキュリティなど、有名なセキュリティソフトウェアだけを信頼してください。スマートフォンやタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Recently we have observed a series of mobile ads intended to scare users into believing that their device is infected with a threat called “Trojan: MobileOS/Tapsnake”.
Figure 1. Fake Tapsnake infection warnings
The malware alert is fake. Tapsnake is an older Android threat (we blogged about it in 2010 and detect it as Android.Tapsnake) that just happens to be mentioned in these ads to make them appear more authentic. We visited a site serving these ads using a brand new Android device with a fresh install and nothing on it and still received this alert. Users of Apple’s iPhone have also reported seeing Tapsnake alerts, despite the fact that the threat doesn’t target iOS devices.
Figure 2. Scareware tactics target Android users
This type of warning is commonly associated with scareware, which originated on PCs. When users visit scareware websites, they are shown a warning that claims their computer or device is infected with malware. These scareware sites may then offer free downloads of fake antivirus software.
This is all a trick designed to convince the user to download an application.
Figure 3. Android Antivirus app offer
Symantec Security Response advises users not to install applications outside of trusted app stores. Instead, users should only trust well-known and reputable security software, such as Norton Mobile Security available on the Google Play app store. For general safety tips for smartphones and tablets, visit the Symantec Mobile Security website.
Recently we have observed a series of mobile ads intended to scare users into believing that their device is infected with a threat called “Trojan: MobileOS/Tapsnake”.
Figure 1. Fake Tapsnake infection warnings
The malware alert is fake. Tapsnake is an older Android threat (we blogged about it in 2010 and detect it as Android.Tapsnake) that just happens to be mentioned in these ads top make them appear more authentic. We visited a site serving these ads using a brand new Android device with a fresh install and nothing on it and still received this alert. Users of Apple’s iPhone have also reported seeing Tapsnake alerts, despite the fact that the threat doesn’t target iOS devices.
Figure 2. Scareware tactics target Android users
This type of warning is commonly associated with scareware, which originated on PCs. When users visit scareware websites, they are shown a warning that claims that their computer has been infected with malware. These scareware sites may then offer free downloads of fake antivirus software.
This is all a trick designed to convince the user to download an application.
Figure 3. Android Antivirus app offer
Symantec Security Response advises users not to install applications outside of trusted app stores. Instead, users should well-known, reputable security software, such as Norton Mobile Security available on the Google Play app store. For general safety tips for smartphones and tablets, visit the Symantec Mobile Security website.
avast! Mobile Security is the number 1 app you need on your Android phone. Not convinced? If you already have an Android phone in your pocket, or if a new mobile phone or tablet is on your Christmas wish list, read this story shared with us by Jennifer: The number 1 reason Jennifer got […]