android マルウェア 事例ブログ

FFRI BLOG

Androidマルウェア「Skygofree」 vs. FFRI安心アプリチェッカー

2018年1月に「Skygofree」と呼ばれるAndroid マルウェアが確認されています。
LINEをはじめとした端末内のユーザー情報や端末情報を詐取される可能性があり、日本で発売された端末などが監視対象に含まれているということで、各セキュリティベンダーから注意喚起されています。


LINEユーザーを狙うAndroidスパイウェア「Skygofree」に注意

LINEなどが監視されるAndroidマルウェア「Skygofree」が見つかる、周囲の音や会話も自動的に録音







【「Skygofree」マルウェアについて】

今回FFRIでは「Skygofree」マルウェアを入手し、その脅威について検証しました。
「Skygofree」マルウェアは攻撃者が用意したフィッシングサイトからシステムアップデートを装って端末にインストールされ、「systemupdate」というアプリ名でホーム画面に追加されます。実行後にホーム画面からアイコンを削除し、リスト一覧からアプリを非表示にします。これにより、ユーザーがアプリをアンインストールできないようにします。
このマルウェアには非常に多くの攻撃手段が備わっており、端末情報、GPS、SMS、Wi-Fi、カメラなどの情報を収集しようとします。攻撃対象のサービスが起動していない場合でも、マルウェアはサービスの起動を試みます。収集した情報は以下のC&Cサーバーに送信します。

217[.]194[.]13[.]133

実際のコードにはC&CサーバーURLと実行するスクリプト名が記載されています。


「Skygofree」のコードにはC&CサーバーURLと実行するスクリプト名が記載されている。


さらにこのマルウェアはLINE、Viber、Facebookなどの有名アプリを監視し、チャット、通話、検索に関する履歴情情報を収集します。収集した情報はC&Cサーバーに送信されているようです。

マルウェア「Skygofree」はLINE、Viber、Facebookなどの有名アプリを監視し、チャット、通話、検索に関する履歴情情報を収集。収集した情報はC&Cサーバーに送信されている。





【「Skygofree」が要求する権限一覧】

「Skygofree」がOSに要求する権限は以下になります。

権限の種類権限名
端末のステータスとIDの読み取り android.permission.READ_PHONE_STATE
テキストメッセージ(SMS)の受信 android.permission.RECEIVE_SMS
テキストメッセージ
(SMSまたはMMS)の受信
android.permission.READ_SMS
SMSメッセージの送信 android.permission.SEND_SMS
写真と動画の撮影 android.permission.CAMERA
録音 android.permission.RECORD_AUDIO
android.permission.RECORD_VIDEO
おおよその位置情報
(ネットワーク基地局)
android.permission.ACCESS_COARSE_LOCATION
正確な位置情報
(GPSとネットワーク基地局)
android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_LOCATION
通話履歴の書き込み android.permission.WRITE_CALL_LOG
通話履歴の読み取り android.permission.READ_CALL_LOG
連絡先の読み取り android.permission.READ_CONTACTS
ウェブのブックマークと履歴の読み取り com.android.browser.permission.READ_HISTORY_BOOKMARKS
SDカードのコンテンツの読み取りandroid.permission.WRITE_EXTERNAL_STORAGE
SDカードのコンテンツの変更または削除
この端末上のアカウントの検索 android.permission.GET_ACCOUNTS
インターネットからデータを受信する com.google.android.c2dm.permission.RECEIVE
ネットワークへのフルアクセス android.permission.INTERNET
ネットワーク接続の表示 android.permission.ACCESS_NETWORK_STATE
ネットワーク接続の変更 android.permission.CHANGE_NETWORK_STATE
Wi-Fiからの接続と切断 android.permission.CHANGE_WIFI_STATE
Wi-Fi接続の表示 android.permission.ACCESS_WIFI_STATE
起動時の実行 android.permission.RECEIVE_BOOT_COMPLETED
実行中のアプリの取得 android.permission.GET_TASKS
他のアプリの上に重ねて表示 android.permission.SYSTEM_ALERT_WINDOW
タブレットのスリープを無効化 android.permission.WAKE_LOCK
音声設定の変更 android.permission.MODIFY_AUDIO_SETTINGS
stickyブロードキャストの配信 android.permission.BROADCAST_STICKY
他のアプリのメッセージ登録・受信防止 com.sysmanager.permission.C2D_MESSAGE

権限一覧から見ても、このマルウェアが非常に多くの操作を実行しようとしているのがわかります。






【被害に遭わないための対策】

現在は日本でのフィッシングサイトは確認されていませんが、日本で発売された端末や「LINE」「Facebook」を始めとした日本国内で多く利用されているアプリが監視対象に含まれていることから、日本が標的となる可能性があります。もしそうなった場合、攻撃者が日本を標的としたフィッシングサイトを作成する可能性がありますので注意が必要です。
提供元が不明なアプリケーションはむやみにインストールせず、信頼されたアプリストアからインストールするよう心がけてください。

FFRI安心アプリチェッカーは、アプリが端末にインストールされたタイミングで検知します。





【FFRI安心アプリチェッカーによる防御】

FFRI安心アプリチェッカーは2017年6月にリリースしたエンジンで検知していることを確認しました。

FFRI安心アプリチェッカーは2017年6月にリリースしたエンジンでマルウェア「Skygofree」をチェック、検知、感染前に削除を促していることを確認し、駆除することができます。

FFRI安心アプリチェッカーは独自のセキュリティ技術である「CODE:F」を搭載しており、一般的なモバイルOS向けセキュリティ製品のようにパターンファイルやシグネチャを利用する後追い技術ではありません。アプリの特徴を抽出し、「不正アプリらしさ」を検出する独自開発のヒューリスティックエンジンを搭載しており、未知の不正アプリを高精度に検出し、診断結果に反映します。詳細は「高精度なヒューリスティックエンジンで「未知」の不正アプリにも対応」をご覧ください。
高精度なヒューリスティックエンジンで「未知」の不正アプリにも対応


■検証環境
Android 4.4.2 ✕ FFRI安心アプリチェッカー 1.1.202.1(2017 年 6月リリース)
※VirusTotal(注) によると、初回登録時の検出率は以下となっています。
「Skygofree」マルウェアについて、2017-08-21 05:55:05 UTC時点の検出率は3 / 60
■検証した検体のハッシュ値(SHA-256)


・2d087d89364b22d180a7e8e923a6dca5fd6d131dad12db9dd2a2ae5c4b9d9675

このようにAndroid OSの個人情報を狙った攻撃はすでに確認されており、被害に遭わないためにも早急な対策が必要と言えます。
FFRIでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。

(注)ファイルやURLを分析しマルウェア検査を行うオンラインスキャンサービス

その他最新事例・ホワイトペーパーのダウンロードはこちらから

関連記事

FFRI安心アプリチェッカー

フリーWi-Fiの利用による脅威と対策

危険なWi-Fi(無線LAN)スポットの特徴と被害を防ぐ3つのルール

pagetop