Tag Archives: Android

Android ??????????????????????

      No Comments on Android ??????????????????????

デジタル署名を無効化することなく攻撃者が正規の Android アプリに悪質なコードをインジェクトできるマスターキー脆弱性が発見されたことは、今月の初めにお伝えしたとおりです。シマンテックは、悪用が容易であることから、この脆弱性がすぐに利用されるだろうと予測していましたが、残念ながらその予測のとおりになっています。

ノートン モバイルインサイト(何百というマーケットプレイスから Android アプリを採取して自動的に解析するシマンテックのシステム)によって、この脆弱性が実際に悪用されている初めての例が検出されたのです。シマンテックは、問題のあるアプリを Android.Skullkey として検出します。

今回、2 つのアプリが悪質な処理に感染していることが確認されました。どちらも、病院を検索して予約できる正規のアプリであり、中国の Android マーケットプレイスで公開されているものです。
 

xxAndroid-MasterKey-1-edit.png   xxAndroid-MasterKey-2-edit.png

図 1. 感染した 2 つのアプリのスクリーンショット
 

攻撃者は両方のアプリを取得して、デバイスのリモート制御、IMEI や電話番号といった重要な情報の窃盗、プレミアム SMS メッセージの送信などを可能にするコードを追加しています。また、いくつかの中国製モバイルセキュリティソフトウェアアプリがインストールされている場合には、ルートコマンドを使ってそれを無効にします。
 

xxAndroid-MasterKey-3-edit.png

図 2. インジェクトされるコードのスニペット
 

攻撃者は、この脆弱性を悪用して元の Android アプリを改変し、新しい classes.dex ファイル(Android アプリのコードを含むファイル)と、新しい Android マニフェストファイル(許可を指定しているファイル)を追加しています。
 

xxAndroid-MasterKey-4-edit.png

図 3. Android アプリのパッケージに含まれるファイル
 

攻撃者は今後も、この脆弱性を悪用して無防備なユーザーのデバイスへの感染を続けると予測されます。アプリは、信頼できる Android アプリマーケットプレイスからのみダウンロードするようにしてください。ノートン モバイルセキュリティを使用すると、他の脅威と同様にこの脅威からも保護することができます。また、Norton Halt(英語版)を使用すると、モバイルデバイスがこの脆弱性の影響を受けやすくなっている場合に警告が表示されます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

First Malicious Use of ‘Master Key’ Android Vulnerability Discovered

      No Comments on First Malicious Use of ‘Master Key’ Android Vulnerability Discovered

Earlier this month, we discussed the discovery of the Master Key vulnerability that allows attackers to inject malicious code into legitimate Android applications without invalidating the digital signature. We expected the vulnerability to be leveraged…

Android APK ???????????????????????????

      No Comments on Android APK ???????????????????????????

先日のブログでお伝えしたように、Java で記述されているために複数のオペレーティングシステムで実行できるリモートアクセスツール(RAT)の活動が活発化しています。Android オペレーティングシステムが急速に普及している状況で、Android OS が最新の標的となり、RAT に対して無防備なのは当然です。アンダーグラウンドフォーラムでは、昨年の終わり頃から AndroRAT(Android.Dandro)として知られる無償の Android 版 RAT が公開されています。そして最近、AndroRAT を使って簡単に正規のアプリを再パッケージ化し、トロイの木馬を仕掛けることのできるツールが初めて登場しました。アンダーグラウンド経済がサイバー犯罪者の需要に応えようとすることを考えれば、これも当然の流れでしょう。
 

figure1.png

図 1. 世界最初のバインダを謳ってアンダーグラウンドで販売されている「バインダ」ツール

オープンソースの Android 版 RAT である AndroRAT が公開され、インターネット上で誰でも入手できるようになったのは、2012 年 11 月のことです。他の RAT と同様に AndroRAT でも、攻撃者はわかりやすいコントロールパネルを使って侵入先のデバイスを制御できます。たとえば、デバイス上で実行されている AndroRAT は、電話をかけたり監視したりするほか、SMS メッセージを送信する、デバイスの GPS 座標を取得する、カメラとマイクを有効化して利用する、デバイスに保存されたファイルにアクセスするといったことが可能です。
 

figure2_HL.png

図 2. AndroRAT のコントロールパネル
 

RAT は、Android の標準アプリケーションフォーマットである APK の形で提供されます。AndroRAT APK バインダと組み合わせて使えば、専門知識の乏しい攻撃者でも AndroRAT を使って簡単に、正規の Android アプリに感染するプロセスを自動化し、トロイの木馬を仕掛けることができます。トロイの木馬を仕掛けられた正規のアプリがデバイスにインストールされると、ユーザーは何も知らずに、目的の正規アプリとともに AndroRAT もインストールすることになります。攻撃者は、ユーザーを欺いて Android セキュリティモデルの機能をすり抜けられるわけです。シマンテックは現在までに、人気のある 23 種類の正規アプリが AndroRAT によって実際にトロイの木馬を仕掛けられていることを確認しています。

これに続いて、シマンテックは有償版の Java RAT も確認しています。これが Adwind(Backdoor.Adwind)で、すでに複数のオペレーティングシステムに対応しているうえに、AndroRAT のオープンソースコードに基づいて Android モジュールを取り込みつつあるようです。有償版のこの RAT にも、リモートで RAT を管理制御できるグラフィカルユーザーインターフェースが装備されています。

 

figure3LOB.png

図 3. Adwind のメインコントロールパネル
 

Adwind が Android で動作するところを解説したデモンストレーション用ビデオでも、感染したデバイス上に AndroRAT が存在していることが示され、Adwind の作成者が AndroRAT ツールをカスタマイズして Adwind に取り込んでいる可能性が示唆されています。AndroRAT のコードが、カスタマイズして新しい脅威やツールを簡単に作成できるというオープンソースの性質を備えている以上、こうした展開もなんら不思議なことではありません。
 

figure4_HL_600pxw.png

図 4. 感染したデバイス上に AndroRAT が存在することを示す Adwind のビデオからのスクリーンショット

シマンテックの現在の遠隔測定によると、米国とトルコが最も頻繁に Android.Dandro の標的になっています。感染数は全世界でも数百件どまりですが、遠隔測定では、最近になって感染数が増えていることも報告されています。AndroRAT 用のツールがますます流通し高機能になっていることを考えれば、増加傾向は今後も続くものとシマンテックは予測しています。
 

figure5LOB.png

図 5. 感染の分布図
 

リモートアクセスツールの進化が Android プラットフォームに向かうことは、以前から予期されていました。AndroRAT は今のところ、それほど高機能ではなさそうですが、コードがオープンソースであり人気も高くなっている以上、さらに深刻な脅威に発展する恐れは十分にあります。

この脅威を Android.Dandro として検出する、ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Remote Access Tool Takes Aim with Android APK Binder

      No Comments on Remote Access Tool Takes Aim with Android APK Binder

In a previous blog, we talked about the rise of remote access tools (RAT) written in Java that are capable of running on multiple operating systems. With the growing popularity of the Android operating system, it comes as no surprise that the Android O…

avast! Mobile Security gets Editors’ Choice Award from PC Magazine

      No Comments on avast! Mobile Security gets Editors’ Choice Award from PC Magazine

PC Magazine awarded avast! Mobile Security the Editors’ Choice Award for free Android security apps thanks to its “huge array of powerful tools and fine-grained controls.” A major concern for smartphone owners is the increasing threat of malicious software targeting Android OS. Max Eddy, software analyst for PC Magazine, writes that, “avast! is well-positioned to guard […]

What Master Key? – Android Signature Bypass Vulnerability

      No Comments on What Master Key? – Android Signature Bypass Vulnerability

Recently, a vulnerability in Android package signature verification was announced by Jeff Forristal, CTO of Bluebox Security. Jeff plans on revealing details at the upcoming BlackHat Briefings at the end of this month. Though he has not released any details on his findings beyond the initial blog post more information is becoming available on how Read more…

Android Vulnerability Allows App Hijacking

      No Comments on Android Vulnerability Allows App Hijacking

A serious Android vulnerability, set to be disclosed at the Blackhat conference, has now been publicly disclosed. The vulnerability allows attackers to inject malicious code into legitimate apps without invalidating the digital signature.
Android appli…

Amazon Android ??????????????

      No Comments on Amazon Android ??????????????

以前のブログでもお伝えしたように、アプリストアから悪質なアプリを除外するのはなかなか難しい目標です。特に、偽アプリやミスリーディングアプリは特定が容易ではありません。これは、謳っているとおりの機能を実行するかどうかが常に明確に判断できるわけではないためです。

シマンテックの自動システムによって、明らかに悪質なミスリーディングアプリが Amazon Android アプリストアで公開されていた例が見つかっています。

これは「Password Wifi Hacker Plus」という名前で、付近の Wi-Fi ネットワークのパスワードをクラックできると謳っていますが、実際には、そのように動作すると見せかけて、偽のダイアログボックスを表示するだけです。
 

Figure. Password Wifi Hacker Plus fake dialog box.png

図. Password Wifi Hacker Plus の偽ダイアログボックス
 

さらに、このアプリには 6 種類のネットワーク広告コンポーネントもバンドルされ、その一部はきわめて攻撃的なものです。これらの広告コンポーネントは、ユーザーの所在地などの情報を漏えいするほか、通知パネルに広告を表示し、ホーム画面にアイコンを作成します。また、ブックマークを追加して頻繁にポップアップ広告を表示します。

シマンテックから Amazon 社に対して、Amazon アプリストアにこのアプリが公開されていることを通知済みです。

ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。ノートン モバイルセキュリティは、今回のアプリを Android.Fakeapp として検出します。

スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Fake Application Found on Amazon Appstore for Android

      No Comments on Fake Application Found on Amazon Appstore for Android

Keeping an app store free of malicious applications can be a hard task as we have discussed in our previous blogs. Fake or misleading applications, in particular, are often the hardest to spot because it is not always obvious whether they do what they …

Security Apps, Malware Race to Be First On Your Mobile

      No Comments on Security Apps, Malware Race to Be First On Your Mobile

In China, there is a saying: “道高一尺,魔高一丈,” meaning “The law is strong, but the outlaws are sometimes stronger.” In the last few weeks, a new Android malware we’re calling Android/Obad.A has appeared. It uses a number of techniques that have rarely been seen before in mobile malware. Android/Obad.A requests the victim to authorize its Device Read more…