ウイルス情報

ウイルス名 危険度

Android/Drad.A

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6262
対応定義ファイル
(現在必要とされるバージョン)
6261 (現在7656)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2011/02/22
発見日(米国日付) 2011/02/15
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Android/Drad.Aは機密情報を送信し、外部サーバからコマンドを受信し、インターネットにアクセスするトロイの木馬です。

TOPへ戻る

ウイルスの特徴

・Android/Drad.Aは「TAT-LWP-Mod-Dandelion.apk」という名前のapkファイルとして配布されます。動作するには、Android 2.1以降が必要です。

・Android/Drad.Aは正規の動く壁紙に悪質なコードを挿入してパッケージしなおしたものです。


図1 - Android/Drad.Aがリクエストする許可

・デバイスが起動すると、悪質なコードが「MyService」という名前のサービスとして動作します。


図2 - 「MyService」という名前で動作する、挿入された悪質なコード

・Android/Drad.Aはネットワーク接続がアクティブかどうか確認します。アクティブな場合、DESで暗号化されたIMEIとIMSIをhttp://adrd.ta[検閲済み].net/index.aspxに定期的に送信します。

・攻撃者のサーバからAndroid/Drad.Aが実行するコマンドが返されます。コマンドもDESで暗号化されています。

・以下の4つのコマンドが確認されています。

コマンド 機能
0 動作なし
1 http://adrd.xi[検閲済み].com/pic.aspxにアクセスし、IMEIとIMSIを送信します。
2 <文字列> <文字列>の引数を解析します。ただし、解析されたデータは使用されません。
3 <URL> APKファイルを「/sdcard/uc/myupdate.apk」にダウンロードします。

・テスト中、APKファイルはダウンロードされませんでしたが、攻撃者がコマンドを使ってAndroid/Drad.Aを更新する可能性が高いです。

・Android/Drad.Aは、送信したIMEI、IMSIと引き替えに、攻撃者からURLのリストを受け取り、それぞれのURLにアクセスしようとします。

・受け取るURLは中国の検索エンジンの検索クエリーです。クエリーの形式は以下のとおりです。

 http://wap.baidu.com/s?word=%e5[検閲済み]%bf%b1%e9%bd%90&vit=uni&from=961a_w1

・Android/Drad.Aは検索サイトにアクセスし、検索ページからURLを抽出し、抽出したURLをランダムに選択してアクセスします。

・Android/Drad.Aが最終的に何をしたいのかは不明ですが、一種のSEO(検索エンジン最適化)を実行しようとしているように見えます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 機密情報を送信します。
  • 定期的にインターネットにアクセスします。
  • 外部サーバからのコマンドを実行します。

TOPへ戻る

感染方法

ユーザが故意に携帯電話にインストールしない限り、Android/Drad.Aに感染することはありません。いつも言われていることですが、ユーザは絶対に見覚えのないソフトウェア、信頼できないソフトウェアをインストールしてはなりません。クラックされたアプリケーションなど、違法なソフトウェアはマルウェアの感染源であるため、絶対にインストールしないでください。

TOPへ戻る

駆除方法

TOPへ戻る