昨年のAndroidセキュリティ脅威の進化

はじめに

あなたのことは知りませんが、マルウェアは好きです。 いいえ、もちろん、ウィルメイクは否定的な現象であり、罰すべき行為です。 しかし、マルウェア自体は、その作業の結果から注意をそらされ、ほとんどの場合、興味深い概念的なプログラムを表しています。また、ウイルスシーンには、オリジナルのアイデアを具体化し、難しい技術的な部分を実装できる才能のある開発者が十分にいます。



このようなソフトウェアの進化を追跡することは、さらに興味深いことです...

モバイルプラットフォームのセキュリティ

...そして、観察のための最もアクセスしやすいオブジェクトはAndroidプラットフォームです。システムはわずか3年前であり、保護メカニズムよりもはるかに高速に開発されています。 人気は、製品に対するvirmakerの関心を決定します。 さらに、モバイルデバイス用に作成されたマルウェアは優れた効果をもたらします。 数百のウェブサイトがスマートフォンやタブレットでスピンしないようにしますが、個々のユーザーの個人情報を保存し、デスクトップ（SMS、GPSなど）にはない、まだアプリケーションを見つけられないメカニズムも備えています。



1年前、友人と私はGoogleからモバイルシステム専用のサイトを作成しました。 私はそこに「セキュリティ」セクションを残し、新興のウイルスと脆弱性についてメモします。 過去1年間、少量の資料が蓄積されており、新しいプラットフォームやモバイルプラットフォーム攻撃の概念の出現を非常に明確に追跡できます。 したがって、私はすべてを年表の形でまとめました。 各要素と私の主観的な評価にコメントを付けます。また、詳細が記事に収まらないため、フレームワークには必要ないため、主題に関する詳細を読むことができる私のサイトの記事へのリンクも付けます。

解説

この資料には、ソフトウェアを使用したプラットフォームでの新しい攻撃ベクトルの出現に関連する事実のみが含まれています。 これはまず第一に、マルウェアの作成に使用できる新しいアプローチを実証する研究者や発見された脆弱性と同様に、新しい原則に基づいたmalvariの出現です。



特に、Android.Spyのようなウイルスは、興味深いものが何もないため、ここに到達しませんでした。標準的な紳士用の「若いトロイの木馬」とアンチウイルス署名データベースに余分なキロバイトが設定されています。 だから...

タイムライン

2010年11月23日 - セキュリティの専門家であるThomas Kanonは、Androidブラウザーに組み込まれた脆弱性を発見しました。 デバイスのSDカードの情報にアクセスするために、特別なJavaScriptコードが埋め込まれたWebページを使用できました。



この脆弱性がすでに非常に深刻であるとは言えませんが、Android向けのトロイの木馬を作成するときに、将来アプリケーションが発見されました。



また、専門家からタイムリーに警告されたGoogle Android Security Teamの対応も示唆しました。 脆弱性は、12月に新しいGingerbreadがリリースされるまで閉じられませんでした。



2010年12月下旬 -Lookout Mobile Securityは、中国のアプリケーション市場でトロイの木馬Geinimiを発見しました。 悪意のあるコードは正当なプログラムやゲームに含まれていました。 これはAndroid向けの最初のウイルスであり、完全で技術的なものと言えます。 彼はユーザーの個人データやその他の情報を収集し、すべてをリモートサーバーに送信しました。 Malvariアーキテクチャにより、ボットネットの展開が可能になりました。



2011年1月下旬 -香港市立大学とインディアナ大学ブルーミントンの研究者は、マルウェアトロイの木馬マルウェアの2つの概念を提示し、2つの興味深いアイデアを示しました。



Dubbed Soundminerプログラムは、デバイスのマイクを使用して音声を傍受し、受信した録音から特別な認識アルゴリズムが音声クレジットカード番号を引き出します。 彼女は別のプロトタイプ-配達人と連携して働いています。 同時に、両方のトロイの木馬は互いに対話し、アプリケーション間の切り替えを防ぐように設計された既存のプラットフォームセキュリティメカニズムをバイパスします。 このトリックのおかげで、マルウェアは他のアプリケーションを介してサードパーティのサーバーに情報を送信でき、インターネット自体にアクセスする必要はありません。



2011年2月中旬 -Android.Andrdトロイの木馬の出現は、標準のアクションセットの実装に加えて、感染したデバイス上のブラウザの検索結果を操作し始めた最初の馬です。 これは、Baidu検索エンジンでのサイトのSEOプロモーションのために行われました。 したがって、モバイルウイルスの別の実用的なアプリケーションが実現しました。



2011年3月の初め -おそらくAndroidセキュリティの世界で最も注目されているイベント-Androidマーケット自体にmalvariが登場。 これ以前は、感染したアプリケーションは、主に中国のさまざまなウェアーズポータルに存在していましたが、ここでは...



数日以内に、Androidアプリケーションの21の感染バージョンでデータが表示されました。 その後、この数は56に増えました。すべてのプログラムは3つのアカウントからダウンロードされ、悪意のあるコードが埋め込まれた正当なアプリケーションのコピーでした-DroidDreamと呼ばれる通常のトロイの木馬です 。



Googleのセキュリティチームは、警告に時間内に応答しなかったため、再びミスを犯しました。実際、トロイの木馬は非常に迅速に検出され、Guitar Solo Liteアプリケーションの開発者は、感染した子供の奇妙なエラーレポートを分析した後、これを行いました。 彼らはGoogleのスペシャリストに通知しましたが、そのような情報は大きなポータルに表示されて初めて見逃し、行動を開始しました。 その時までに、多数のユーザーが感染し、全体の総ボリュームは約200,000の感染デバイスに達し、Androidの世界で最大になりました。



Androidマーケットはクリーニングされ（Symantec、Samsung、Lookoutの従業員が参加しました）、開発者は特別なユーティリティであるAndroid Market Security Toolを作成しました。これは自動的にインストールされ、ユーザーのデバイスをクリーニングします。 彼女は、あざけりのように、未知の職人によってすぐに塗りつぶされ、別のアプリケーション市場に配置され、新たな感染の波を引き起こしました。



2011年4月上旬 -感染したText and Walkアプリケーションが、アジアの複数のファイルホスティングサイトに広がりました。 動物は、感染したデバイスからSMSを連絡先リスト（もちろん、銀行）の番号に送信しました。 メッセージには次のテキストが含まれていました。



「こんにちは、インターネットからAndroid用の海賊版ウォークアンドテキストアプリをダウンロードしました。 私は愚かで貧しいですが、1ドルしかかかりません。 私のように盗むな！」



これが真実を伝えるウイルスです。 彼は、ユーザーが本当の正当な申し出をダウンロードすることさえ提案しました。 しかし、このような「典型的な」行動は、個人情報の盗難などの通常のトロイの木馬に従事することを妨げませんでした。



2011年5月 初旬-Doctor Webのスペシャリストが「Android向けの本格的なバックドア」 -Android.Crusewindを発見しました 。 このマルバールがそのような称号を受けた理由を言うのは難しいです。 結局のところ、典型的なバックドア特性を採用すると、システムシェルへのアクセスを提供するために、Crusewindにはこれがなく、ルートアクセスを取得するための対応するエクスプロイトが含まれていませんでした。 そして、ハッキングされたデバイスを制御するためのソフトウェアメカニズムとしてバックドアのより広い定義を採用する場合、はい、Crusewindはこのクラスに属しますが、それは確かに最初ではありません。 同じGeinimiには、チームに関連付けられた完全に機能するメカニズムがありました。



Crusewindは、SMS経由で配布されたという点で興味深いです。 単純なメカニズム-ユーザーはプログラムをダウンロードするためのリンクを受け取り、ダウンロードしてデバイスに感染すると、SMSが連絡先リストに送信されます。 すべてがソーシャルエンジニアリングに結びついています。 この時点まで、同様の伝播メカニズムは検出されていません。 一方、Crusewindとほぼ同時に、Android.Evanウイルスファミリーが中国に登場し、そのコピーもSMSとソーシャルエンジニアリングを介して配布されました。 どのソフトウェアでこのアイデアが最初に実装されたかを言うのは困難です。



2011年6月下旬 -TrendLabsスペシャリストが、隠れたSMSリレーのメカニズムを実装するウイルスインスタンスを検出します 。 つまり、感染したデバイスはゲートウェイとして機能します。 攻撃者のコマンドに忠実に、指定された受信者にメッセージを送信し、これらの受信者からの受信メッセージをリモートサーバーに送信します。 このようなメカニズムを使用するには多くの方法がありますが、SMSの請求書の支払い、単純なメッセージの送受信、およびユーザー通信の盗用によって、非常に柔軟であることが判明しました。 ただし、同じCrusewindファミリーに属するトロイの木馬自体は、その時点では湿っているように見えます-配布メカニズムはそれにねじ込まれていません。 はい、この新しいメカニズムの実用化はまだ見えていませんが、...



2011年7月10日 -HippoSMSトロイの木馬が発見されました。このトロイの木馬は、感染したデバイスから有料番号にメッセージを送信するためにSMSと連携する同様のメカニズムを使用します。 これは、感染したモバイルデバイスの使用におけるこの方向の実装の最初の（最後ではなく、7月下旬にAndroid.Ggtrackファミリが登場し、同様の原理に基づいて構築された）ものの1つです。



2011年6月中旬 -フォーティネットは、AndroidオペレーティングシステムのZeus修正の発見について報告しています。 これは重要なイベントであり、最も重要なイベントの1つです。「大きな」コンピューターからモバイルプラットフォームに至るまで、マルウェアは移動します。これは非常に技術的で危険です。 目標は、ユーザーの財務データです。 そして、今やAndroid上で最高レベルのvirmakerが気づいたことは明らかです。



しかし、このモバイルトロイの木馬は、その「兄貴」とは異なり、不器用で、アーキテクチャに明らかな問題があることが判明しました。



2011年8月の初め - 新しいベクターが表示されます。 今回は、マルウェアのターゲットではなく、生のプロトタイプがユーザーの会話です-それらは記録され、ファイルに保存され、サードパーティのサーバーに転送されます。 この時点まで、Androidデバイスには盗聴はありませんでした。



2011年8月中旬 -ANDROIDOS_NICKISPY.Aトロイの木馬が登場し、会話を聞くために上記のメカニズムを使用するGoogle+ネットワーククライアントアプリケーションを装っています。



2011年8月下旬 -カリフォルニア州デイビス大学の研究者が、タッチスクリーンデバイスのプロトタイプキーロガーであるAndroid用TouchLoggerを開発しました 。 従来の傍受メカニズムではなく、デバイスのセンサーからの情報の使用に基づく革新的なアイデアが実装されました。 コンセプトはとても面白くて新鮮でした。



2011年9月の初め -Androidの Zeusの後にSpyEyeが登場します。これは、「大型」コンピューターの世界のもう1つの高度なトロイの木馬です。 モバイルデバイスでルートアクセスを取得し、SMSの送受信で機能するために以前に遭遇したメカニズム。



ここでユニークなのは、デスクトップとモバイルデバイス用のMalvariバージョンのハイブリッド使用です。 デバイスは、コンピューターへの接続を介して感染します。 SpyEyeは支払いシステムを対象としており、そのほとんどがアカウントを電話にリンクするメカニズムを使用していることを思い出させてください。 また、ユーザーアカウントでの操作には、SMSによる確認が必要です。



SpyEyeがコンピューターに感染したため、SMSの確認がなければ、盗まれた可能性があります。 そのため、モバイルデバイスにアクセスし、それを使用してSMSで必要な操作を行うことは論理的です。 このアイデアに基づいて、動物のモバイルバージョンが開発されました。これは、支払いシステムの保護メカニズムを回避する優れた方法になりました。



2011年9月末 -最近では、誰もがこのトロイの木馬について知ることができました。 コマンド付きの暗号化されたエントリを含む通常のオープンなインターネットブログサイトを使用して、C＆Cサーバーから感染したデバイスにコマンドを転送するメカニズムの興味深い実装で注目されていなかった場合、年代順に含まれていなかったかもしれません。



一方、 AnserverBot （彼の名前です）は、現代のアーキテクチャとウイルスエンジニアリングの全体的な傾向の両方を特徴付ける小規模企業です。 Virは技術的であり、リバースエンジニアリングを複雑にするツール、C＆Cサーバーの2レベルシステム、優れた戦闘負荷を備えています。 彼は確かに興味深いアイデアをもたらしました。

結論

年表からわかるように、Android向けマルウェアは絶えず改善されており、このプロセスを見るのは驚くほど興味深く有用です。ここにアイデア、ここにコンセプト、ここにトレンドとクリエイティブがあります。 Androidにとってどのような新しいウイルスとなるかは言うのが難しいですが、確かに過去1年間に出現したすべてのものを見ることができます。 一方で、製造可能性とメカニズムの質の向上に傾向があります。 しかし、これは私たちがまだ面白いアイデアを見る可能性を排除するものではありません。

結論の代わりに

私の意見を共有したいだけです-最も重要なイベントは、Geinimiの出現です。これは、最初で最も技術的で最も知名度の高いイベントの1つになったウイルスです-Androidマーケットへの感染、最も興味深いコンセプト-カリフォルニア州の研究者によるTouchLoggerおよび 間違いなくモバイルSpyEye。



ご清聴ありがとうございました。エレガントなアイデアが大好きです。このトピックがおもしろいと思ったことを願っています。