この投稿は、「 Android OS用SMSウイルス」または「Hello :) You have a photo ... 」という投稿のルーツによって提起されたテーマを継続しています 。 ウイルスがトロイの木馬とどのように異なるのか、マルウェアを適切に調査する方法についてのコメントを読んで楽しみました。 私はこれを4年間毎日やっているので、これは私がお話ししたいまさに正しい研究です。 「ライブ」デバイスで悪意のあるプログラムを実行するのは正しいですか? 仮想マシンを使用する必要がありますか? そのような実験中に自分や他のユーザーに害を及ぼさないようにするには? 同時に、特定のトロイの木馬Trojan-SMS.AndroidOS.Opfake.aについて話しましょう。
しかし、おそらく、元の投稿でも取り上げられたトピックから始めます-ウイルス対策ソフトウェアが既に感染したデバイスを処理する方法です。 私たちの製品はテストされていませんでしたが、無駄です:トロイの木馬は、現在および元の調査の時点で(スクリーンショットで判断すると、9月3日でした)、製品の試用版( Google Playへのリンク )によって静かに検出され、削除されました。 プルーフピーク:
治療
[削除]をクリックすると、ユーザーは自動的にデバイス管理者の管理メニューに移動し、そこでトロイの木馬のデバイス管理者権限をキャンセルできます。 その後、設定のマルウェア削除メニューへの移行が続きます。
ご覧のとおり、Windowsで行われるように、プロセスは完全に自動化されていません。 このソリューションでは、ユーザーがトロイの木馬を削除するために必要なメニュー項目を順番に表示し、すべての隠された作業を行いますが、いくつかのボタンを押す必要があります。これはAndroidの特異性です。 経験の浅いユーザーでもこのタスクに対処できますか? まあ、これはこの経験の浅いユーザーによる追加のスマートフォン保護のための良い議論です。アンチウイルスが事前にインストールされていれば、感染は単に起こらなかっただろう。
そして、どのような種類のトロイの木馬であり、すべてのベンダーがすぐにそれを検出しなかったのですか?
実際、Android OS.Opfakeファミリーのsmsトロイの木馬はコレクションの中でも最も古いものの1つです。3年前の2011年8月にこのタイプの最初の代表を登録しました。 それ以来、8000を超える亜種が検出されました。 彼らはすべて同じ目標を持っています:有料の短い番号にSMSを送信し、このアクティビティを隠すことにより、ユーザーのアカウントからお金を盗みます。 ただし、オプションは可能です。 Opfake.aのこの特定の変更が最初に行うことは、C&Cサーバーに接続することです。その後、そこから受信したコマンドを既に実行します。 連絡先リスト(同じ「こんにちは」)にスパムを送信したり、プレミアム番号にSMSを送信したり、連絡先リストを盗んだりする可能性があります。 さらに、このトロイの木馬は、指定された番号への呼び出しを開始し、所有者への呼び出しをブロックし、着信SMSを傍受し、別の悪意のあるプログラムをインストールすることもできます。
興味深い点は、このトロイの木馬の変更により、猫と同じ写真が表示されることです。 他の変更はこれを行わず、隠された悪意のある操作のみを実行し、何も表示しません。
次に、トロイの木馬がすべてではなく、すぐに検出しなかった理由について話しましょう。 以下は、当社製品からの情報に基づいたグラフです。
8月29日から9月1日までのプログラム検出の数を2時間間隔でここに示します。 ご覧のとおり、8月31日に活動が急増し、ロシア、ウクライナ、ベラルーシ、カザフスタン、ウズベキスタンで合計1800件以上の攻撃が検出されました。 しかし、このOpfakeの修正は8月29日-金曜日の夕方に登場しました。 トロイの木馬の以前のバージョンと比較して、新しいものは、ウイルス対策ソリューションによる検出方法を回避するという唯一の目的のために変更されました。 私たちのケースでは、検出は署名方法ではなく、ヒューリスティックの助けを借りて実行されました-大まかに言えば、悪意のあるプログラムの動作の説明です。 このようなヒューリスティックにより、トロイの木馬の多くの変更をすぐにカバーでき、この方法は悪意のあるコードの小さな変更に対してより耐性があります。
この状況では、ウイルス対策会社が新しい攻撃にどれだけ迅速に対応できるかにかかっています。 まず、何らかの方法で新しいサンプルをキャッチし、次にサンプルを(手動または自動で)分析し、次に、製品の更新という形で情報をできるだけ迅速に検出して顧客に配布する必要があります。 追加の複雑な要因は、トロイの木馬の最初の配布時でした。これは、サイバー犯罪者が私たちの仕事の特性を考慮して特別に選択した可能性が高いです。 しかし、私たちはそれをやった:)
研究する方法
投稿が始まった場所に戻ります。 利用可能なすべてのツールを使用して悪意のあるプログラムを調査し、かなりの経験を考慮して、状況に応じて適切なものを選択します(コード分析、エミュレーション、実際のデバイスでの起動など)。 そのようなトロイの木馬を自宅で分析することを決めた人に何が推奨されますか? ルーツユーザー戦略は一般に正しかった。個人データなしで、SIMカードはインストールされているがアカウントにお金がない「クリーン」なデバイスでマルウェアを実行する。 しかし、より安全な方法から始めることをお勧めします。
•標準のAndroidエミュレーター内で起動します。 最も安全な方法で、トロイの木馬の機能について多くを学ぶこともできます。 ただし、一部のマルウェアは仮想マシン内での起動を追跡し、動作を拒否します。 しかし、すべてではありません。
•個人データがなく、SIMカードがなく 、インターネットがオフになっている実際のデバイスで起動します。 このトロイの木馬の場合、これはほとんど役に立ちません。 SIMがインストールされていないデバイスで動作することを拒否し、その本当の目的を隠しているモバイル脅威のまれなタイプがあります。
•SIMカードを使用して、実際のデバイスで起動します。 この場合のアカウントのお金の不足は100%の保証を与えるものではありません。SMSの短い番号への送信をブロックするためにオペレーターを追加で接続することをお勧めします。
前述したように、Opfakeトロイの木馬の唯一の選択肢は有料のSMSの送信ではないため、自宅で3番目の方法を使用することはお勧めしません。 警告されました!
予防
モバイルサイバー犯罪は、最近種として出現したものの、従来のPCの対応するものよりもはるかに高速に開発されていると繰り返し述べています。 2-3年で、Androidは通常のPCと同じように、単純なウイルスから複雑な悪意のあるプログラムまで同じ開発段階を経ました。 ようやく数年かかったが、数十年かかった。 「上級」ユーザーは、このようなトロイの木馬から身を守る必要はありません。メッセージを開かず、疑わしいリンクをクリックしないでください。もちろん、疑わしいプログラムをインストールしないでください。
通常の携帯電話の代わりにスマートフォンを選択する経験の少ないユーザーはどんどん何をしますか? 実際、少なくとも非公式なソースからのプログラムのインストールを許可しない場合、Opfake.aなどのトロイの木馬は既に停止できます。 しかし、これは100%の保証を与えるものではなく、Google Playで率直に言って悪意のあるプログラムが検出された数十のケースがこの証拠です。 また、フィッシングの問題、モバイル広告ネットワークでの疑わしいソフトウェアの宣伝などについては話していません。 そのため、モバイルデバイス上のセキュリティソフトウェアが必要です。