製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
Android/FakeLookout.A
企業ユーザ:
個人ユーザ:
最小定義ファイル
(最初に検出を確認したバージョン)
N/A
対応定義ファイル
(現在必要とされるバージョン)
N/A (現在7600)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2012/10/25
発見日(米国日付)2012/10/23
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・Android/FakeLookout.Aはバックドアを開き、乗っ取ったデバイスから機密情報および個人情報を盗み出すマルウェアです。

ウイルスの特徴TOPに戻る

・Android/FakeLookout.AはLookout Mobile Securityアプリケーションのアップデートとして公式マーケットであるGoogle Playで配布されていることが確認されました。

・アプリケーションのインストール前に、WRITE_EXTERNAL_STORAGE、RECEIVE_BOOT_COMPLETED、RECEIVE_SMS、SEND_SMS、ACCESS_FINE_LOCATION、GET_ACCOUNTS、READ_SMS、WRITE_SMSという疑わしい許可が要求されます。

・ユーザがアプリケーションをダウンロードしてインストールしても、メインメニューにアイコンは表示されません。マルウェアがデバイスにインストールされているかどうか確認する唯一の方法は、「ダウンロードされた」アプリケーションのリストを確認する方法だけです。

・インストール後、Bluetooth、Wi-Fiといったワイヤレス接続の変更、外部メディアストレージでの動作、新しいアプリケーションのダウンロードやインストールなど、乗っ取ったデバイスでの大量のイベントにより、Android/FakeLookout.Aを起動できます。これらのイベントのうちの1つが発生すると、Android/FakeLookout.Aは、「dataCache」フォルダに格納されたファイルのアップロードの実行、リモートサーバから送信されたコマンドの受信のスケジュールを設定する(システムアラームを毎分使用)悪質なサービスである「UploadService」を起動します。Android/FakeLookout.Aによって実装されるコマンドは以下のとおりです。

- clearFileList: リモートFTPサーバにアップロードされた、SDカードのdataCacheフォルダに格納されているすべてのファイルを削除します。
- getDir: アップロードフォルダにあるすべてのファイルが記載されたテキストファイルを作成します。
- clearAlarm: Alarm Managerをリセットします。
- getTexts: 乗っ取ったデバイスのすべてのSMS、MMSメッセージ(発信元、日付、本文、画像)を取得し、テキストファイルとしてアップロードフォルダにコピーします。 - getFile: 特定のファイルがDCIMフォルダ(またはC&Cサーバで指定されたフォルダ)に存在するかどうか確認し、見つかった場合はアップロードフォルダにコピーします。
- getSize: デフォルトのフォルダのサイズを取得し、アップロードフォルダにあるファイルにその情報を格納します。

・サービスがシステムアラームによって実行されるたびに、ファイルが圧縮され、FTPサーバにアップロードされます。

・乗っ取ったデバイスから盗み出されたファイルは「/home/ftpuser/android_id」フォルダに格納されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
- SMSおよびMMSメッセージを取得し、リモートFTPサーバにアップロードします。
- SDカードにあるファイルのリストを取得し、リモートサーバにアップロードします。
- リモートのコマンド&コントロールコマンドで指定されたファイルを特定のFTPサーバにアップロードします。
- 攻撃者が指定したファイルを削除します。

感染方法TOPへ戻る

・ユーザが故意に携帯電話にインストールしない限り、Android/FakeLookout.Aに感染することはありません。アプリケーションが目的に無関係な動作を実行する許可を求めていないことを確認してください。

駆除方法TOPへ戻る