Androidマルウェア「Skygofree」 vs. FFRI安心アプリチェッカー
2018年1月に「Skygofree」と呼ばれるAndroid マルウェアが確認されています。
LINEをはじめとした端末内のユーザー情報や端末情報を詐取される可能性があり、日本で発売された端末などが監視対象に含まれているということで、各セキュリティベンダーから注意喚起されています。
・LINEユーザーを狙うAndroidスパイウェア「Skygofree」に注意
・LINEなどが監視されるAndroidマルウェア「Skygofree」が見つかる、周囲の音や会話も自動的に録音
目次
1.「Skygofree」マルウェアについて
2.「Skygofree」が要求する権限一覧
3.被害に遭わないための対策
4.FFRI安心アプリチェッカーによる「Skygofree」マルウェアの防御
【「Skygofree」マルウェアについて】
今回FFRIでは「Skygofree」マルウェアを入手し、その脅威について検証しました。
「Skygofree」マルウェアは攻撃者が用意したフィッシングサイトからシステムアップデートを装って端末にインストールされ、「systemupdate」というアプリ名でホーム画面に追加されます。実行後にホーム画面からアイコンを削除し、リスト一覧からアプリを非表示にします。これにより、ユーザーがアプリをアンインストールできないようにします。
このマルウェアには非常に多くの攻撃手段が備わっており、端末情報、GPS、SMS、Wi-Fi、カメラなどの情報を収集しようとします。攻撃対象のサービスが起動していない場合でも、マルウェアはサービスの起動を試みます。収集した情報は以下のC&Cサーバーに送信します。
217[.]194[.]13[.]133
実際のコードにはC&CサーバーURLと実行するスクリプト名が記載されています。
さらにこのマルウェアはLINE、Viber、Facebookなどの有名アプリを監視し、チャット、通話、検索に関する履歴情情報を収集します。収集した情報はC&Cサーバーに送信されているようです。
【「Skygofree」が要求する権限一覧】
「Skygofree」がOSに要求する権限は以下になります。
| 権限の種類 | 権限名 |
| 端末のステータスとIDの読み取り | android.permission.READ_PHONE_STATE |
| テキストメッセージ(SMS)の受信 | android.permission.RECEIVE_SMS |
| テキストメッセージ (SMSまたはMMS)の受信 | android.permission.READ_SMS |
| SMSメッセージの送信 | android.permission.SEND_SMS |
| 写真と動画の撮影 | android.permission.CAMERA |
| 録音 | android.permission.RECORD_AUDIO android.permission.RECORD_VIDEO |
| おおよその位置情報 (ネットワーク基地局) | android.permission.ACCESS_COARSE_LOCATION |
| 正確な位置情報 (GPSとネットワーク基地局) | android.permission.ACCESS_FINE_LOCATION android.permission.ACCESS_LOCATION |
| 通話履歴の書き込み | android.permission.WRITE_CALL_LOG |
| 通話履歴の読み取り | android.permission.READ_CALL_LOG |
| 連絡先の読み取り | android.permission.READ_CONTACTS |
| ウェブのブックマークと履歴の読み取り | com.android.browser.permission.READ_HISTORY_BOOKMARKS |
| SDカードのコンテンツの読み取り | android.permission.WRITE_EXTERNAL_STORAGE |
| SDカードのコンテンツの変更または削除 | |
| この端末上のアカウントの検索 | android.permission.GET_ACCOUNTS |
| インターネットからデータを受信する | com.google.android.c2dm.permission.RECEIVE |
| ネットワークへのフルアクセス | android.permission.INTERNET |
| ネットワーク接続の表示 | android.permission.ACCESS_NETWORK_STATE |
| ネットワーク接続の変更 | android.permission.CHANGE_NETWORK_STATE |
| Wi-Fiからの接続と切断 | android.permission.CHANGE_WIFI_STATE |
| Wi-Fi接続の表示 | android.permission.ACCESS_WIFI_STATE |
| 起動時の実行 | android.permission.RECEIVE_BOOT_COMPLETED |
| 実行中のアプリの取得 | android.permission.GET_TASKS |
| 他のアプリの上に重ねて表示 | android.permission.SYSTEM_ALERT_WINDOW |
| タブレットのスリープを無効化 | android.permission.WAKE_LOCK |
| 音声設定の変更 | android.permission.MODIFY_AUDIO_SETTINGS |
| stickyブロードキャストの配信 | android.permission.BROADCAST_STICKY |
| 他のアプリのメッセージ登録・受信防止 | com.sysmanager.permission.C2D_MESSAGE |
権限一覧から見ても、このマルウェアが非常に多くの操作を実行しようとしているのがわかります。
【被害に遭わないための対策】
現在は日本でのフィッシングサイトは確認されていませんが、日本で発売された端末や「LINE」「Facebook」を始めとした日本国内で多く利用されているアプリが監視対象に含まれていることから、日本が標的となる可能性があります。もしそうなった場合、攻撃者が日本を標的としたフィッシングサイトを作成する可能性がありますので注意が必要です。
提供元が不明なアプリケーションはむやみにインストールせず、信頼されたアプリストアからインストールするよう心がけてください。
FFRI安心アプリチェッカーは、アプリが端末にインストールされたタイミングで検知します。
【FFRI安心アプリチェッカーによる防御】
FFRI安心アプリチェッカーは2017年6月にリリースしたエンジンで検知していることを確認しました。
FFRI安心アプリチェッカーは独自のセキュリティ技術である「CODE:F」を搭載しており、一般的なモバイルOS向けセキュリティ製品のようにパターンファイルやシグネチャを利用する後追い技術ではありません。アプリの特徴を抽出し、「不正アプリらしさ」を検出する独自開発のヒューリスティックエンジンを搭載しており、未知の不正アプリを高精度に検出し、診断結果に反映します。詳細は「高精度なヒューリスティックエンジンで「未知」の不正アプリにも対応」をご覧ください。
・高精度なヒューリスティックエンジンで「未知」の不正アプリにも対応
■検証環境
Android 4.4.2 ✕ FFRI安心アプリチェッカー 1.1.202.1(2017 年 6月リリース)
※VirusTotal(注) によると、初回登録時の検出率は以下となっています。
「Skygofree」マルウェアについて、2017-08-21 05:55:05 UTC時点の検出率は3 / 60
■検証した検体のハッシュ値(SHA-256)
・2d087d89364b22d180a7e8e923a6dca5fd6d131dad12db9dd2a2ae5c4b9d9675
このようにAndroid OSの個人情報を狙った攻撃はすでに確認されており、被害に遭わないためにも早急な対策が必要と言えます。
FFRIでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。
(注)ファイルやURLを分析しマルウェア検査を行うオンラインスキャンサービス
関連記事
危険なWi-Fi(無線LAN)スポットの特徴と被害を防ぐ3つのルール
FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。
FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。
最近の記事
特集
アーカイブ
HOME ≫ FFRIセキュリティ BLOG ≫ 2018年 ≫ 2018年1月 ≫ Androidマルウェア「Skygofree」 vs. FFRI安心アプリチェッカー
