Androidマルウェアのニュースが現在あちこち出ましたので、実は何があったのか?
実は最新Androidマルウェア感染Outbreakが行いました↓
Androidのダウンロードマーケットで50件以上Androidアプリーが本件のマルウェアに感染されている状況と確認が出来ました。Google社の行動は感染されているアプリーがサスペンドされいる状況になり、ダウンロードが出来ません(別のリソースでは消したって言われていたが確認したらアプリー情報が未だ残っている状態ですがダウンロードが出来ません)。Google社のアナウンスを読んだらサスペンド迄に200件ダウンロード履歴があると確認されていますので恐らく200台ぐらいスマートフォンが感染されていると思われます。
上記のPutbreakに当たってどのアプリーが「感染されていますか?
下記はサスペンド前のAndroidマーケットのアプリー一覧スクリーンショットです、下記のアプリーが全て感染されております。
一番ダウンロードされているマルウェアアプリー名は「Super Guitar Solo」ですが(有名な「Guitar Solo」のぱっくりです)アプリーのスクリーンショットは下記となります↓
スキャンしたら下記の警告が出ました↓
一番ダウンロードされているマルウェアアプリー名は「Super Guitar Solo」ですが(有名な「Guitar Solo」のぱっくりです)アプリーのスクリーンショットは下記となります↓
スキャンしたら下記の警告が出ました↓
はきり、感染されたアプリーの一覧がありますか?
あります、下記は50件のアプリー名一覧となります、アプリーのPublisherによって3つに分けます↓
「Myournet」のPublisherのアプリー一覧↓
Falling Down • Super Guitar Solo • Super History Eraser • Photo Editor • Super Ringtone Maker • Super Sex Positions • Hot Sexy Videos • Chess • 下坠滚球_Falldown • Hilton Sex Sound • Screaming Sexy Japanese Girls • Falling Ball Dodge • Scientific Calculator • Dice Roller • 躲避弹球 • Advanced Currency Converter • App Uninstaller • 几何战机_PewPew • Funny Paint • Spider Man • 蜘蛛侠
「Kingmall2010」のPublisherのアプリー一覧↓
Bowling Time • Advanced Barcode Scanner • Supre Bluetooth Transfer • Task Killer Pro • Music Box • Sexy Girls: Japanese • Sexy Legs • Advanced File Manager • Magic Strobe Light • 致命绝色美腿 • 墨水坦克Panzer Panic • 裸奔先生Mr. Runner • 软件强力卸载 • Advanced App to SD • Super Stopwatch & Timer • Advanced Compass Leveler • Best password safe • 掷骰子 • 多彩绘画
「we20090202」のPublisherのアプリー一覧↓
Finger Race • Piano • Bubble Shoot • Advanced Sound Manager • Magic Hypnotic Spiral • Funny Face • Color Blindness Test • Tie a Tie • Quick Notes • Basketball Shot Now • Quick Delete Contacts • Omok Five in a Row • Super Sexy Ringtones • 大家来找茬 • 桌上曲棍球 • 投篮高手
「Myournet」のPublisherのアプリー一覧↓
Falling Down • Super Guitar Solo • Super History Eraser • Photo Editor • Super Ringtone Maker • Super Sex Positions • Hot Sexy Videos • Chess • 下坠滚球_Falldown • Hilton Sex Sound • Screaming Sexy Japanese Girls • Falling Ball Dodge • Scientific Calculator • Dice Roller • 躲避弹球 • Advanced Currency Converter • App Uninstaller • 几何战机_PewPew • Funny Paint • Spider Man • 蜘蛛侠
「Kingmall2010」のPublisherのアプリー一覧↓
Bowling Time • Advanced Barcode Scanner • Supre Bluetooth Transfer • Task Killer Pro • Music Box • Sexy Girls: Japanese • Sexy Legs • Advanced File Manager • Magic Strobe Light • 致命绝色美腿 • 墨水坦克Panzer Panic • 裸奔先生Mr. Runner • 软件强力卸载 • Advanced App to SD • Super Stopwatch & Timer • Advanced Compass Leveler • Best password safe • 掷骰子 • 多彩绘画
「we20090202」のPublisherのアプリー一覧↓
Finger Race • Piano • Bubble Shoot • Advanced Sound Manager • Magic Hypnotic Spiral • Funny Face • Color Blindness Test • Tie a Tie • Quick Notes • Basketball Shot Now • Quick Delete Contacts • Omok Five in a Row • Super Sexy Ringtones • 大家来找茬 • 桌上曲棍球 • 投篮高手
そもそも「DroidDream」ってどのマルウェアなんですか?
1)「rageagainstthecage」のroot exploitが入っています。Androidのroot権限を取るrootkitですね。感染されたアプリーの中に下記のSTRINGを検索が出来ます↓
「CVE-2010-EASY Android local root exploit (C) 2010 by 743C」
↑これがあると完全に感染される確認との事です。
2)個人情報盗む事、感染されたデバイスのroot権限を取ってから携帯のIMEI情報 (International Mobile Equipment Identity) と、IMSI 情報(International Mobile Subscriber Identity) をハッカーのサーバに送る動きが発見されております、その時に一緒にプロダクトID, 機械モデル情報, プロバイダー情報, language, country, とユーザID情報を送ってしまいます!
殆ど下記のIPアドレスにHTTPで繋ぐ事になります↓
hxxp://184.105.245.17:8080/GMServer/GMServlet
↑Fremont,CA(アメリカ)にあるIDCのIpアドレスです。
3)バックドアの機能が持っています。
必ず上記のIPアドレスにセッションがずっと繋ぎっぱなしになっています、目的は不明です。
「CVE-2010-EASY Android local root exploit (C) 2010 by 743C」
↑これがあると完全に感染される確認との事です。
2)個人情報盗む事、感染されたデバイスのroot権限を取ってから携帯のIMEI情報 (International Mobile Equipment Identity) と、IMSI 情報(International Mobile Subscriber Identity) をハッカーのサーバに送る動きが発見されております、その時に一緒にプロダクトID, 機械モデル情報, プロバイダー情報, language, country, とユーザID情報を送ってしまいます!
殆ど下記のIPアドレスにHTTPで繋ぐ事になります↓
hxxp://184.105.245.17:8080/GMServer/GMServlet
↑Fremont,CA(アメリカ)にあるIDCのIpアドレスです。
3)バックドアの機能が持っています。
必ず上記のIPアドレスにセッションがずっと繋ぎっぱなしになっています、目的は不明です。
解決方法↓
1)マルウェア対策ソフト無料版又は有料版で本件のマルウェアを検知が出来ますが使った方が安心ですね。
2)このサイトで書いた情報えすが、pre-Gingerbreadパッチを入れたら/system/bin/profileファイルの情報を隠す事が出来ますので、個人情報が取られてません。
3)上記一覧にあるアプリーがあったら気をつけて下さい。
2)このサイトで書いた情報えすが、pre-Gingerbreadパッチを入れたら/system/bin/profileファイルの情報を隠す事が出来ますので、個人情報が取られてません。
3)上記一覧にあるアプリーがあったら気をつけて下さい。
今迄Androidのマルウェアの中に本件の種類が一番ひどいタイプって言われていますはDroidDreamマルウェアは英語で「Mother Of All Android Malware」と言います。
感染の時間が結構早いです、インストールしてから起動されています、3Gネットワークだと5秒ぐらいリモートIPに繋ぐ事が出来ます、結構危険な物ですね。
本件の情報がまた追加しますので、宜しくお願いします。
もし追加情報がございましたら私にツイッターで@unixfreaxjpへご連絡下さい、宜しくお願いします。
リファレンス↓
http://blog.mylookout.com/2011/03/security-alert-malware-found-in-official-android-market-droiddream/
http://www.androidpolice.com/2011/03/02/update-on-the-malware-monster-droiddream-is-an-android-nightmare-and-weve-got-more-details/
http://www.reddit.com/r/netsec/comments/fvhdw/someone_just_ripped_off_21_popular_free_apps_from/
http://www.androidpolice.com/2011/03/02/update-on-the-malware-monster-droiddream-is-an-android-nightmare-and-weve-got-more-details/
http://www.reddit.com/r/netsec/comments/fvhdw/someone_just_ripped_off_21_popular_free_apps_from/
追加情報ですが、こちらへDroid Dreamのコードアナライズ情報がみえます。
Malware Analyst Credit: Lompolo
----
ゼロデイ・ジャパン
http://0day.jp
Tweet
0 件のコメント:
コメントを投稿