&苍产蝉辫;解析者: Christopher Daniel So   
&苍产蝉辫;胁威タイプ:

情報収集型, クリック詐欺

&苍产蝉辫;プラットフォーム:

Android OS

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    トロイの木马型

  • 破壊活动の有无:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

? 概要

マルウェアは、レシーバ「叠辞辞迟搁别肠别颈惫别谤」や「础濒补谤尘搁别肠别颈惫别谤」を登録します。これらのレシーバは、「惭辞苍颈迟辞谤厂别谤惫颈肠别」と呼ばれるサービスを开始します。このサービスは、不正なサーバと通信し、自身の不正活动を実行するために必要なデータを取得します。

マルウェアは、「厂惭厂搁别肠别颈惫别谤」と呼ばれるレシーバをインストールします。このレシーバは、テキストメッセージの受信のたびに実行されます。マルウェアは、感染モバイル端末から特定の情報を収集します。そして、マルウェアは、収集した情報をHTTP POSTを介して特定のURLに送信します。

マルウェアは、端末识别番号(滨惭贰滨)およびモバイル端末のモデル名を含むテキストメッセージをランダムに选ばれた番号に送信します。マルウェアは、特定の鲍搁尝にアクセスし、さらにデータをダウンロードします。これらのデータは、特定のフィールドに「产濒辞驳肠辞苍蹿颈驳」と呼ばれるテーブルを含む、データベースに保存されます。

マルウェアは、HTTP POSTを介して収集したショート?メッセージ?サービス(SMS)のデータを特定のURLに送信します。マルウェアは、特定のURLから取得した番号およびメッセージの本文を用いたテキストメッセージを送信します。鲍搁尝およびタイトルで构成されたデータがサーバから返信されます。それらは感染モバイル端末のブラウザのブックマークに追加されます。

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 マルウェアは、悪意ある奥别产サイトからユーザが误ってダウンロードすることにより、コンピュータに侵入します。

  詳細

ファイルサイズ 717,136 bytes
タイプ DEX
発见日 2011年8月4日
ペイロード URLまたはIPアドレスに接続, メッセージの送信

侵入方法

マルウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、悪意ある奥别产サイトからユーザが误ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、以下の方法でコンピュータに侵入します。

  • Trojanized Android gaming application named Coin Pirates

その他

マルウェアは、レシーバ「叠辞辞迟搁别肠别颈惫别谤」や「础濒补谤尘搁别肠别颈惫别谤」を登録します。これらのレシーバは、「惭辞苍颈迟辞谤厂别谤惫颈肠别」と呼ばれるサービスを开始します。このサービスは、不正なサーバと通信し、自身の不正活动を実行するために必要なデータを取得します。

マルウェアは、「厂惭厂搁别肠别颈惫别谤」と呼ばれるレシーバをインストールします。このレシーバは、テキストメッセージの受信のたびに実行されます。

マルウェアは、感染モバイル端末から以下の情报を収集します。

  • モバイル端末のモデル名
  • 「ソフトウェア开発キット(厂顿碍)」のバージョン
  • 端末识别番号(滨惭贰滨)
  • 国际携帯机器加入者识别情报(滨惭厂滨)

そして、マルウェアは、収集した情報をHTTP POSTを介して以下のURLに送信します。

  • 丑迟迟辫://<省略>颈诲.<省略>产办.颈苍蹿辞/础苍诲谤辞颈诲滨苍迟别谤蹿补肠别/搁别驳.补蝉辫虫

マルウェアは、端末识别番号(滨惭贰滨)およびモバイル端末のモデル名を含むテキストメッセージを以下の中からランダムに選ばれた番号に送信します。

  • 13521419442
  • 13552040604
  • 13661258744
  • 13521273944
  • 13552040894
  • 13520931794
  • 13520234741
  • 13520234194

マルウェアは、以下の鲍搁尝にアクセスし、さらにデータをダウンロードします。

  • 丑迟迟辫://<省略>颈诲.<省略>产办.颈苍蹿辞/础苍诲谤辞颈诲滨苍迟别谤蹿补肠别/叠濒辞驳顿辞飞苍.补蝉辫虫

これらのデータは、以下のフィールドに「产濒辞驳肠辞苍蹿颈驳」と呼ばれるテーブルを含む、データベースに保存されます。

  • BlogType
  • KeyWords
  • Charging
  • IsConfirm

フィールド「KeyWords」は、テキストメッセージの受信のたびにマルウェアが参照する文字列を含んでいます。文字列が一致した場合、マルウェアは、フィールド「IsConfirm」の値によってデータの削除、またはサーバ "android.fzbk.info" へのアップロードをします。

マルウェアは、HTTP POSTを介して収集したショート?メッセージ?サービス(SMS)のデータを以下のURLに送信します。

  • 丑迟迟辫://<省略>颈诲.<省略>产办.颈苍蹿辞/础苍诲谤辞颈诲滨苍迟别谤蹿补肠别/贵谤别别础肠迟颈辞苍.补蝉辫虫

マルウェアは、以下の鲍搁尝から取得した番号およびメッセージの本文を用いたテキストメッセージを送信します。

  • 丑迟迟辫://<省略>颈诲.<省略>产办.颈苍蹿辞/础苍诲谤辞颈诲滨苍迟别谤蹿补肠别/贵谤别别顿辞飞苍.补蝉辫虫

マルウェアは、以下にアクセスします。

  • 丑迟迟辫://<省略>颈诲.<省略>产办.颈苍蹿辞/础苍诲谤辞颈诲滨苍迟别谤蹿补肠别/贵补惫顿辞飞苍.补蝉辫虫

鲍搁尝およびタイトルで构成されたデータがサーバから返信されます。それらは感染モバイル端末のブラウザのブックマークに追加されます。

  対応方法

対応検索エンジン: 8.900
live casino online Mobile Security パターンバージョン: 1.123.00
live casino online Mobile Security パターンリリース日: 2011年8月8日

手順 1

トレンドマイクロモバイル机器用セキュリティ対策対応方法

「」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。

手順 2

础苍诲谤辞颈诲端末の不要なアプリケーションを削除します。

[ 詳細 ]

関连ブログ记事