McAfee for Small Businesses

ウイルス名 危険度 Android/FakeLookout.A 企業ユーザ: 低 個人ユーザ: 低 最小定義ファイル (最初に検出を確認したバージョン) N/A 対応定義ファイル (現在必要とされるバージョン) N/A　（現在7080) 対応エンジン 5.4.00.1158以降　(現在5.4.00)　 エンジンバージョンの見分け方 情報掲載日 2012/10/25 発見日（米国日付） 2012/10/23 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/19 RDN/Generic ... 05/19 Generic Down... 05/19 RDN/Download... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・Android/FakeLookout.AはLookout Mobile Securityアプリケーションのアップデートとして公式マーケットであるGoogle Playで配布されていることが確認されました。 ・アプリケーションのインストール前に、WRITE_EXTERNAL_STORAGE、RECEIVE_BOOT_COMPLETED、RECEIVE_SMS、SEND_SMS、ACCESS_FINE_LOCATION、GET_ACCOUNTS、READ_SMS、WRITE_SMSという疑わしい許可が要求されます。 ・ユーザがアプリケーションをダウンロードしてインストールしても、メインメニューにアイコンは表示されません。マルウェアがデバイスにインストールされているかどうか確認する唯一の方法は、「ダウンロードされた」アプリケーションのリストを確認する方法だけです。 ・インストール後、Bluetooth、Wi-Fiといったワイヤレス接続の変更、外部メディアストレージでの動作、新しいアプリケーションのダウンロードやインストールなど、乗っ取ったデバイスでの大量のイベントにより、Android/FakeLookout.Aを起動できます。これらのイベントのうちの1つが発生すると、Android/FakeLookout.Aは、「dataCache」フォルダに格納されたファイルのアップロードの実行、リモートサーバから送信されたコマンドの受信のスケジュールを設定する（システムアラームを毎分使用）悪質なサービスである「UploadService」を起動します。Android/FakeLookout.Aによって実装されるコマンドは以下のとおりです。 - clearFileList: リモートFTPサーバにアップロードされた、SDカードのdataCacheフォルダに格納されているすべてのファイルを削除します。 - getDir: アップロードフォルダにあるすべてのファイルが記載されたテキストファイルを作成します。 - clearAlarm: Alarm Managerをリセットします。 - getTexts: 乗っ取ったデバイスのすべてのSMS、MMSメッセージ（発信元、日付、本文、画像）を取得し、テキストファイルとしてアップロードフォルダにコピーします。 - getFile: 特定のファイルがDCIMフォルダ（またはC&Cサーバで指定されたフォルダ）に存在するかどうか確認し、見つかった場合はアップロードフォルダにコピーします。 - getSize: デフォルトのフォルダのサイズを取得し、アップロードフォルダにあるファイルにその情報を格納します。 ・サービスがシステムアラームによって実行されるたびに、ファイルが圧縮され、FTPサーバにアップロードされます。 ・乗っ取ったデバイスから盗み出されたファイルは「/home/ftpuser/android_id」フォルダに格納されます。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る - SMSおよびMMSメッセージを取得し、リモートFTPサーバにアップロードします。 - SDカードにあるファイルのリストを取得し、リモートサーバにアップロードします。 - リモートのコマンド＆コントロールコマンドで指定されたファイルを特定のFTPサーバにアップロードします。 - 攻撃者が指定したファイルを削除します。 感染方法 TOPへ戻る ・ユーザが故意に携帯電話にインストールしない限り、Android/FakeLookout.Aに感染することはありません。アプリケーションが目的に無関係な動作を実行する許可を求めていないことを確認してください。 駆除方法 TOPへ戻る