製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
Android/MarketPay.A
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
N/A
対応定義ファイル
(現在必要とされるバージョン)
N/A (現在7565)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2012/07/23
発見日(米国日付)2012/07/19
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・Android/MarketPay.Aは、ユーザの同意なしに、中国のモバイルアプリケーションマーケットからアプリケーションを購入する注文を自動的に行うトロイの木馬化されたアプリケーションで見つかったマルウェアです。

ウイルスの特徴TOPに戻る

・Android/MarketPay.Aは複数の中国のマーケットで提供されている正規のアプリケーションにパックしなおされています。以下の許可がオリジナルのアプリケーションに追加されます:RECEIVE_SMS、SEND_SMS、READ_SMS、WRITE_SMS、CAMERA、WRITE_APN_SETTINGS

・Android/MarketPay.AはバックグラウンドでAnkboots、Anknets、Ankexcutes、Ankrextの4つのサービスを実行してペイロードを実行します。メインサービスであるAnkbootsは、ユーザが存在する(デバイスのロックが解除される)とき、SMSが受信されたとき、またはデバイスがオンになるたびに起動します。このサービスは、ネットワーク接続を確認した後、自動的にログインするため、デバイスのアクセスポイント名(APN)をCMWAPに変更します。APNの変更、確認後、Android/MarketPay.Aは、別のAndroidマーケットから自動的にアプリケーションを購入するのに必要な構成をダウンロードし、ローカルファイルに保存するコンポーネントを実行するシステムで2つのアラームのスケジュールを作成します。

・最初のアラームが起動すると、Android/MarketPay.Aは、コマンド&コントロールサーバのURLを入手し、電話番号、IMEIといったデバイスの識別情報を送信して感染したデバイスを登録するため、トロイの木馬化されたアプリケーション内のフォルダアセットに格納されたconfig.txtファイルを読み取ります。これに応じて、サーバはシステムの以下のローカルファイルに保存されたデータを送信します。

- c.dat:複数の中国のマーケットにつながる、高額な料金がかかる番号、Android/MarketPay.Aが自動的に購入するアプリケーションの識別情報およびキーワード、悪質なアプリケーションがペイロードを実行できる時間が格納されます。 - sc.dat:リモートサーバの登録で「mo_id」パラメータで送信される別の電話番号が格納されます(実際の電話番号は最初のリクエストでのみ送信されます)。

・また、サーバから「docode」と応答される場合があります。

・この場合、Android/MarketPay.Aは、C&Cサーバから提供された番号(docode)に感染したデバイスにIMEIを含むSMSメッセージを送信します。

・その後、Android/MarketPay.Aは、収集した情報を使ってテキストメッセージを送信するAnkexcutesサービスを起動します。2番目のアラームが起動すると、同様のプロセスが発生します。唯一の違いは、リクエストが別のURLに対して行われ、他の情報がコマンド&コントロールサーバからデバイスに送信されることです(アプリケーションリンク、キーワード)。データがローカルファイルに保存されると、Android/MarketPay.Aは、最近作成された、自動的に購入するアプリケーションのURLを格納した「aurl.dat」ファイルを読み取り、バックグラウンドでリンクのクリック動作をシミュレートするAnknetsサービスを起動します。URLが提供されない場合、Anknetsサービスは、ルートURLとC&Cサーバから提供されたキーワードを格納した「u.dat」ファイルを読み取り、その情報を使って、アプリケーションのリンクを見つけ、購入します。その後、Android/MarketPay.Aは、支払いを行うURLを特定し、ブラウザに確認の画像が表示されているか確認します。その場合、Android/MarketPay.Aは、画像(CAPTCHA)をリモートサーバ(119.147.[検閲済み].[検閲済み]:8080/mi/mmide)に送信して、確認されたという返事を受け取り、応答をモバイルマーケットに返信します。確認が終わると、Android/MarketPay.Aは購入したアプリケーションを/sdcard/anksoft/にダウンロードします。

・また、メインサービスであるAnkbootsは、受信するすべてのSMSメッセージを盗聴し、それらが中国のAndroidマーケットまたはターゲットとなるAndroidマーケットからのものかどうかを確認する新しいコンポーネントをシステムに登録します。この場合、Android/MarketPay.Aはシステムのローカルファイル(re.dat)に情報(確認コード)を格納し、確認コードが書かれているSMSメッセージを削除し、最近取得した確認コードと一緒にC&Cサーバから提供された番号にテキストメッセージを送信するAnkrextsサービスを起動します。SMSが別のソースから送信されている場合、Android/MarketPay.Aは、ユーザに気づかれないよう、通知を取り消し、メッセージをブロックし、受信箱から削除します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
- SMSメッセージを送信します。 - 機密情報をリモートサーバに送信します(IMEIおよび電話番号)。 - ユーザの同意なしに、自動的にアプリケーションを購入する注文をします。 - 受信したSMSメッセージを盗聴、ブロック、削除します。

感染方法TOPへ戻る

・ユーザが故意に携帯電話にインストールしない限り、Android/MarketPay.Aに感染することはありません。いつも言われていることですが、ユーザは絶対に見知らぬAndroidマーケットや信頼できないAndroidマーケットからソフトウェアをインストールしないでください。

駆除方法TOPへ戻る