Tag Archives: Android

McAfee Hidden Device Admin Detector – Free Protection from Android Malware

A few weeks ago, we told you about Obad, a backdoor Trojan that targets the Android operating system (OS). What differentiates a Trojan from a traditional virus is that this type of software attempts to masquerade as something useful in order to trick users into opening the file and then leaves a backdoor open so Read more…

McAfee Hidden Device Admin Detector – Free Protection from Android Malware

A few weeks ago, we told you about Obad, a backdoor Trojan that targets the Android operating system. This Trojan affects all Android OS users, and it is strongly recommended that you address this flaw immediately! What does Obad do? Essentially, Obad enables the downloading of malicious apps onto your Android device right under your Read more…

Norton Mobile Insight Discovers Facebook Privacy Leak

Today we released a new version of Norton Mobile Security for Android devices that contains our new Norton Mobile Insight technology. Mobile Insight has analyzed over 4 million Android applications and processes tens of thousands of new applications ev…

Mobile Malware Plays Hide and Seek

      No Comments on Mobile Malware Plays Hide and Seek

Android/Obad.A is mobile malware that has been described as very complex. Truly it is one of the most complex we’ve seen because it: Uses Bluetooth to infect other Android devices Accepts commands from the attacker Hides from the Device Administration list This is a good collection of malicious activities for a modern piece of malware. Read more…

Mobile Malware Plays Hide and Seek

      No Comments on Mobile Malware Plays Hide and Seek

Android/Obad.A is mobile malware that has been described as very complex. Truly it is one of the most complex we’ve seen because it: Uses Bluetooth to infect other Android devices Accepts commands from the attacker Hides from the Device Administration list This is a good collection of malicious activities for a modern piece of malware. Read more…

FakeAV holds Android Phones for Ransom

FakeAV software is a type of scam using malware that intentionally misrepresents the security status of a computer and attempts to convince the user to purchase a full version of the software in order to remediate non-existing infections. Messages continue to pop up on the desktop until the payment is made or until the malware is removed. This type of fraud, which typically targets computers, began several years ago and has now become a household name. The scam has evolved over time and we are now seeing FakeAV threats making their way onto Android devices. One interesting variant we have come across, detected by Symantec as Android.Fakedefender, locks up the device just like Ransomware. Ransomware is another well-known type of malware that takes a computer hostage, by denying the user access to their files for example, until a payment/ransom is handed over.

Figure1_2.png

Figure 1. Screenshot of FakeAV Android app

Once the malicious app has been installed, user experience varies as the app has compatibility issues with various devices. However, many users will not have the capability to uninstall the malicious app as the malware will attempt to prevent other apps from being launched. The threat will also change the settings of the operating system. In some cases users may not even be able to perform a factory data reset on the device and will be forced to do a hard reset which involves performing specific key combinations and/or connecting the device to a computer in order to perform a reset using software provided by the manufacturer. If they are lucky, some users may be able to perform a simple uninstall due to the fact that the app may crash when executed because of compatibility issues.

Please take a look at the following video to see how FakeAV can lock up a device.

 

Default Chromeless Player

<!–
By use of this code snippet, I agree to the Brightcove Publisher T and C
found at https://accounts.brightcove.com/en/terms-and-conditions/.
–><!–
By use of this code snippet, I agree to the Brightcove Publisher T and C
found at https://accounts.brightcove.com/en/terms-and-conditions/.
–>

 

We may soon see FakeAV on the Android platform increase to become a serious issue just like it did on computers. These threats may be difficult to get rid of once installed, so the key to staying protected against them is preventing them from getting on to your device in the first place. We recommend installing a security app, such as Norton Mobile Security or Symantec Mobile Security, on your device. Malicious apps can also be avoided by downloading and installing apps from trusted sources. For general safety tips for smartphones and tablets, please visit our Mobile Security website.

Symantec detects this malware as Android.Fakedefender.

Android:Obad – malware gets smarter – so does AVAST

If you had the privilege to meet Android:Obad, which Kaspersky earlier reported to be the “most sophisticated android malware,” you are in a real bad situation and this will probably be the moment to which you’ll be referring to in the future as “The time I learned the hard way what better-safe-than-sorry means.” A few […]

????????????? Apple ?? App Store ???

日本語のワンクリック詐欺アプリが Google Play に初めて姿を現したのは今年の初めでしたが、その後ほぼ毎日のように新しい亜種が出現するなど、今ではマーケットの常連になっています。同じ詐欺グループが他のモバイルプラットフォームも狙おうとしているのかどうかが気になったため、簡単に調査を実施しました。その結果、他のプラットフォームでワンクリック詐欺は見つかりませんでしたが、Apple 社の App Store でワンクリック詐欺アプリに似た手口を使う巧妙なアプリを発見しました。

このアプリは、起動すると特定の URL にアクセスし、そこにあるコンテンツをアプリ内で表示します。アプリ自体が、詐欺サイトのフレームとして動作しているようなものです。このアプリからは偽の出会い系サービスにリンクしていますが、このようなサイトは日本語で「サクラ」と呼ばれています。アダルトビデオのサービス料金を支払うようユーザーを欺こうとするワンクリック詐欺アプリとは、この点が異なっています。

App Store では、このアプリはゲームとして紹介されていて、英語のページでは確かに出会い系サービスと関係があるようには見えません。
 

image1_2.png

図 1. 英語版の App Store
 

一方、日本語ページの紹介文では、このアプリがアダルト関連であることが示唆されています。日本語ページでは、ユーザーが 18 歳以上でなければならず、また一定期間だけ無料でダウンロードできると説明されています。
 

image2_1.png

図 2. 日本語版の App Store
 

アプリをインストールして起動すると、そのデザインは App Store に似ています。
 

image3_2.pngimage4_0.pngimage5_1.png

図 3. ダウンロード可能なように見えるアプリ
 

デバイスのネットワーク接続を切断してから、もう一度このアプリを起動すると、何もコンテンツは表示されません。インターネットからダウンロードできないからです。
 

image6_0.png

図 4. デバイスがネットワークに接続されていないときの表示
 

このアプリの中に表示されている、実際には存在しないアプリを開くと、デバイスのデフォルトブラウザで、各種の出会い系サービスサイトが表示されます。いずれもホストされているドメインは同じです。このドメインは、Android 版の同じ出会い系詐欺をホストしていることがすでに確認されている点に注目してください。
 

image7_1.png

図 5. 詐欺で使われた出会い系の「サクラ」サイト
 

サービスに登録するとすぐに、実在しない人物から会ってみたいというメッセージがひっきりなしに届きます。実際には、出会い系サービスの運営業者が雇った人から送信されたメッセージであり、このような人々を日本では慣用的に「サクラ」と呼びます。このサイトの最終的な目的は、ユーザーを欺いて、オンラインでのやり取りを続けるためのポイントを購入させることです。ユーザーが実際にサイト上の誰かと会えるチャンスはほとんどありません。以上のことから、このタイプのサイトを日本では「サクラ」サイトと総称しています。被害者がサイトへの登録に使った電子メールアカウントには、あちこちの出会い系サービスからスパムが届くようになる恐れがあります。

この迷惑アプリは、さまざまな理由で明らかに App Store のポリシーに違反しているため、すでに App Store から削除されています。そもそも、このアプリはいったいどうやって承認されたのでしょうか。フレームとして機能するだけなので、承認プロセスの間は別のコンテンツ、おそらくはゲーム関係のコンテンツを表示していたのかもしれません。これは詐欺グループにとっては大きな商売なので、詐欺を拡散するためにさまざまな手法を駆使しています。ダウンロード元にかかわらず、アプリをダウンロードするときには警戒が必要です。

以下のビデオでは、この詐欺の仕組みを紹介しています。ただし、ビデオの撮影に使ったのは Android デバイスです。
 

Default Chromeless Player

<!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–><!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–>

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

“Sakura” Site App on the Apple App Store

Japanese one-click fraud apps on Google Play made their debut at the beginning of the year and have now become a regular on the market as new variants appear on an almost daily basis. I was curious to see whether the scammers had attempted to target other mobile platforms, so I did some investigative work. The result of which was I didn’t find any one-click fraud on other platforms, but I did came across a dodgy app in the Apple App Store that uses a strategy that is similar to one-click fraud apps.

Once opened, the app accesses certain URLs and displays content from them within the app. The app itself pretty much acts as a frame for the fraudulent site. The particular app leads to fake dating services, called “sakura” sites in Japan, rather than one-click fraud apps that attempt to fool users into paying for an adult video service.

The app was introduced on the App Store as a game and certainly does not look like it is related to a dating service on the English page.
 

image1_2.png

Figure 1. English version on the App Store
 

However, the introduction on the Japanese page suggests that the app may have something to do with pornography. The page also states that users need to be over 18 years of age and that the app is available for a free download for a limited time only.
 

image2_1.png

Figure 2. Japanese version on the App Store
 

Once installed and launched, the app’s appearance resembles the App Store.
 

image3_2.pngimage4_0.pngimage5_1.png

Figure 3. Supposedly downloadable apps
 

By turning off the network connection on the device and then reopening the app, no content is displayed in the app because it could not download it from the Internet.
 

image6_0.png

Figure 4. Result of no network connection on the device
 

When the non-existent apps within the app are opened, the default browser on the device opens various dating service sites that are all hosted on the same domain. Interestingly, the domain has been known to host the Android version of the same dating scam as well.
 

image7_1.png

Figure 5. “Sakura” dating site used in the scam
 

Once users sign-up for the service, they will soon be bombarded with messages from non-existent people interested in meeting them. The messages are actually sent from people hired by the operators of the dating service; this type of person is known colloquially in Japan as a “sakura.” The ultimate goal of the sites is to trick users into purchasing points to continue the online conversations. There is little chance that the users will ever be able to physically meet anyone on the site. Hence, this type of site is generally known as a “sakura” site in Japan. The email accounts the victims used to sign up to the site may also end up receiving spam from various dating services.

The offending app is clearly in violation of the App Store policy for various reasons and has been removed from the store. How could the app have been approved in the beginning? Because the app simply acts as a frame, different content, perhaps game related, could have been used during the approval process. As this is big business for the scammers, they devise various strategies to spread their scam. Users need to be vigilant wherever they may be downloading their apps from.

The following video shows how this scam works (note that an Android device was used to capture the video):
 

Default Chromeless Player

<!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–><!– By use of this code snippet, I agree to the Brightcove Publisher T and C found at https://accounts.brightcove.com/en/terms-and-conditions .–>

 

Android ?????? Linux ????????

      No Comments on Android ?????? Linux ????????

マルウェア作成者は、新しい脆弱性が一般に公開されると、すぐにそれを悪用しようとします。最近 Performance Counters for Linux(PCL)で見つかった、Linux Kernel Local Privilege Escalation Vulnerability(Linux カーネルのローカル特権昇格の脆弱性)(CVE-2013-2094)は、現在さまざまなプラットフォームで悪用されていますが、ついに Android オペレーティングシステム上で動作するように手が加えられました。

Android オペレーティングシステムに詳しくない方のために付け加えると、Android はオープンソースの Linux オペレーティングシステムをベースにしています。つまり、Linux カーネルベースの脆弱性が見つかると、その多くが Android デバイスでも悪用される可能性があるのです。ただし、Android デバイスでも種類が違えば、使われている Linux カーネルのバージョンも異なるため、ある特定の脆弱性の悪用の影響を受けるデバイスは限られるでしょう。

特権昇格の脆弱性の悪用は、サイバー犯罪者に侵入先のデバイスの完全制御を許してしまう可能性があるので特に危険です。Android オペレーティングシステムは通常、すべてのアプリケーションをサンドボックス化するため、どのようなアプリケーションでも、重要なシステム操作を実行したり、他のインストール済みのアプリケーションに干渉したりすることはできません。特権昇格の脆弱性を悪用したマルウェアの例としては、他のアプリケーションのデータにアクセスするもの、アンインストールを妨害するもの、マルウェア自身を隠すもの、さらには Android のアクセス許可モデルをすり抜けて、ユーザーの同意を得ることなくプレミアム SMS メッセージの送信などの操作を実行するものなどが、これまでに確認されています。

2011 年に Android.Rootcager に関するブログでも説明しましたが、特権昇格の脆弱性を突いた悪用はすぐにマルウェアに組み込まれるため、今回の脆弱性の悪用を組み込んだ Android マルウェアも近いうちに登場するでしょう。

シマンテックでは今後も、脆弱性を悪用しようとする脅威の状況を監視し続けます。この悪用の影響を受けるすべての Android デバイスに対してパッチが提供されるまでは、悪質なアプリケーションの被害を受けないためにも、アプリケーションをダウンロードしてインストールする際は、信頼できるマーケットプレイスを選ぶようにしてください。

お使いの Android デバイスが何らかの脅威に感染していると思われる場合は、ノートン モバイルセキュリティに最新の更新をダウンロードして、完全スキャンを実行してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。