ウイルス情報

ウイルス名 危険度

Android/FakeLookout.A

企業ユーザ: 低
個人ユーザ: 低
最小定義ファイル
(最初に検出を確認したバージョン)
N/A
対応定義ファイル
(現在必要とされるバージョン)
N/A (現在7633)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2012/10/25
発見日(米国日付) 2012/10/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Android/FakeLookout.Aはバックドアを開き、乗っ取ったデバイスから機密情報および個人情報を盗み出すマルウェアです。

TOPへ戻る

ウイルスの特徴

・Android/FakeLookout.AはLookout Mobile Securityアプリケーションのアップデートとして公式マーケットであるGoogle Playで配布されていることが確認されました。

・アプリケーションのインストール前に、WRITE_EXTERNAL_STORAGE、RECEIVE_BOOT_COMPLETED、RECEIVE_SMS、SEND_SMS、ACCESS_FINE_LOCATION、GET_ACCOUNTS、READ_SMS、WRITE_SMSという疑わしい許可が要求されます。

・ユーザがアプリケーションをダウンロードしてインストールしても、メインメニューにアイコンは表示されません。マルウェアがデバイスにインストールされているかどうか確認する唯一の方法は、「ダウンロードされた」アプリケーションのリストを確認する方法だけです。

・インストール後、Bluetooth、Wi-Fiといったワイヤレス接続の変更、外部メディアストレージでの動作、新しいアプリケーションのダウンロードやインストールなど、乗っ取ったデバイスでの大量のイベントにより、Android/FakeLookout.Aを起動できます。これらのイベントのうちの1つが発生すると、Android/FakeLookout.Aは、「dataCache」フォルダに格納されたファイルのアップロードの実行、リモートサーバから送信されたコマンドの受信のスケジュールを設定する(システムアラームを毎分使用)悪質なサービスである「UploadService」を起動します。Android/FakeLookout.Aによって実装されるコマンドは以下のとおりです。

- clearFileList: リモートFTPサーバにアップロードされた、SDカードのdataCacheフォルダに格納されているすべてのファイルを削除します。
- getDir: アップロードフォルダにあるすべてのファイルが記載されたテキストファイルを作成します。
- clearAlarm: Alarm Managerをリセットします。
- getTexts: 乗っ取ったデバイスのすべてのSMS、MMSメッセージ(発信元、日付、本文、画像)を取得し、テキストファイルとしてアップロードフォルダにコピーします。 - getFile: 特定のファイルがDCIMフォルダ(またはC&Cサーバで指定されたフォルダ)に存在するかどうか確認し、見つかった場合はアップロードフォルダにコピーします。
- getSize: デフォルトのフォルダのサイズを取得し、アップロードフォルダにあるファイルにその情報を格納します。

・サービスがシステムアラームによって実行されるたびに、ファイルが圧縮され、FTPサーバにアップロードされます。

・乗っ取ったデバイスから盗み出されたファイルは「/home/ftpuser/android_id」フォルダに格納されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

- SMSおよびMMSメッセージを取得し、リモートFTPサーバにアップロードします。
- SDカードにあるファイルのリストを取得し、リモートサーバにアップロードします。
- リモートのコマンド&コントロールコマンドで指定されたファイルを特定のFTPサーバにアップロードします。
- 攻撃者が指定したファイルを削除します。

TOPへ戻る

感染方法

・ユーザが故意に携帯電話にインストールしない限り、Android/FakeLookout.Aに感染することはありません。アプリケーションが目的に無関係な動作を実行する許可を求めていないことを確認してください。

TOPへ戻る

駆除方法

TOPへ戻る