スマホ関連の海外ニュースです。
セキュリティ研究者は、新しい Android トロイの木馬 DroidPlugin フレームワークを使用して、複数のプラグインに悪意のある動作を分割検出が難しく多くを発見しました。 パロ ・ アルトのネットワーク セキュリティ研究者によって PluginPhantom の愛称、新たに発見されたトロイの木馬は、今まで他の Android マルウェアの家族では見られない手法を採用しています。 トロイの木馬は、Android アプリケーションの仮想化のフレームワークである DroidPlugin を人権侵害します。DroidPlugin により、ローカルまたはリモートのファイルからプラグインを読み込むことができるアプリケーションを作成する開発者は Android リアルタイム ユーザー (インストール) の読み込みプロセスを「承認」する必要なし。 極悪非道な行動のため PluginPhantom マルウェアによって、DroidPlugin フレームワーク使用は通常使用をソーシャル メディア アプリのホット パッチ、マルチ アカウント サポートを有効にするアプリのサイズを維持する正当な目的のため (Google Play でストアを通過しないでくださいリアルタイム更新)。 PluginPhantom は、DroidPlugin を使用する方法は、トロイの木馬をホスト アプリケーションに分割、ときに分析すると、プラグインをロードする能力を除く任意の悪意のある動作を機能しません。 悪意のある動作は、ホスト アプリケーションのリソース内に格納された単純な APK ファイルこれらのプラグインに含まれています。DroidPlugin フレームワークでは、ホスト アプリケーション ユーザーの承認なしには、これら APK ファイルをロードすることができます。 現在、9 プラグイン、3 つの基本的な操作や悪意のある操作の 6 PluginPhatom マルウェアが含まれます。基本的な操作の 3 つのプラグイン: オンラインのプラグイン – exfiltrates データでは、C ・ C サーバーとの通信を処理し、新しい指示を取得します。 タスク プラグイン – C ・ C サーバーからの他の六つの悪意のあるプラグイン操作をリレーし、C ・ C サーバーにデータの逆浸出操作を開始します。 更新し、既存のプラグインを再起動し、新しい APKs (プラグイン) をダウンロードするもを使用する-プラグインを更新します。 悪意のある操作に使用される六つのプラグインが: ファイルのプラグイン – スキャンの特定のディレクトリと取得情報など、ファイル名、ファイルの種類、ファイルのサイズ、作成時間、編集時間、ファイルのパス、既定のパス、状態を読み取ります。同様に、外部のメディアをスキャンをダウンロードまたは、特定のファイルを削除できます。C ・ C サーバー (動作未確認の現在のテスト環境では再現できません) から、APK をダウンロードして利用する必要があるときを応援を使用します。 場所は、プラグイン – Exfiltrates 地理位置情報データ。プラグインは、WiFi と GPS Android 4.4 で、アンドロイド 5 モバイル データ接続から地理位置情報データを取得します。 プラグイン – 盗塁呼び出しログ、デバイス Id と連絡先情報、両方の SIM から、デバイスの連絡先リストにお問い合わせください。それも、SMS メッセージを受信し、特定の電話番号からの電話を傍受できます。 カメラのプラグイン – こっそり前面または背面のカメラで写真を撮るか、ユーザーの携帯電話の screengrab がかかります。 プラグイン – レコード C ・ C のサーバー、およびすべての着信呼び出しによって指示されると、バック グラウンド ノイズをラジオします。 WiFi プラグイン – SSID、パスワード、IP アドレス、MAC アドレスなどを盗む WiFi 情報。システム情報 (PID、プロセス名、アプリ名、アプリ リソース パス、アプリケーション データ パス、タイムスタンプ)、ユーザー データ (ブラウザーの履歴とブックマークを訪問)、およびローカル ソフトウェアに情報が盗み出す (アプリケーション名、バージョン、最終更新時間はシステムのアプリ)。 パロ ・ アルトの研究者は、PlugiPhantom Android.Trojan.Ihide の名の下の TrustLook セキュリティ研究者によって検出されたマルウェアの家族の進化を信じています。
続きを読む…
PluginPhantom Android Malware Uses Novel Approach to Hide Malicious Behavior
Security researchers have discovered a new Android trojan that uses the DroidPlugin framework to split malicious behavior across multiple plugins, making detection much harder. Nicknamed PluginPhantom by Palo Alto Networks security researchers, this newly discovered trojan employs a novel technique not seen in other Android malware families until now. The trojan abuses DroidPlugin, which is a virtualization framework for Android apps.
Read more…
