1.概要利用者が急激に増加するAndroidですが、それに伴い Android 端末に感染するマルウェアも登場し始めました。現在、確認されているマルウェアの多くは、Android 端末内に含まれる情報の窃取が主な目的でした。しかし、Shmoocon2011 において、 Android 向けのボットの検証用コード(PoC) が公開されました。この PoC は、 sms インジェクションを応用することで、 bot としての機能を実現しています。 (sms インジェクションに関しましては、関連情報(2)に記載した Blackhat 2009 の資料を参照ください。)モデムとアプリケーションレイヤーの間に、 bot 機能を挿入することで、 sms 経由で Android 端末を不正に操作することが可能となります。この bot の PoC の登場により、 Android マルウェアは急速に進化することが予想されます。2.深刻度(CVSS)CVE-ID 未割り当てのため、現状なし3.影響を受けるソフトウェアAndroid 1.x, 2.x4.解説一般に、 bot の操作はインターネット回線を通じて行われることが多いです。しかし、今回報告された Android bot は通信回線を利用する sms を経由して操作されます。 sms を利用するために、Collin Mulliner and Charlie Miller 氏が Blackhat USA 2009 で発表した Modem と RIL(Radio Link Layer)の代理応答する手法を応用しています。Modem Driver と Telephony Stack の間に bot の機能を挿入することで、 sms 経由での bot への命令を受け取り、 Android 端末を操作します。動作概要は非常にシンプルです。 Bot に感染した Android 端末に送信された sms メッセージの中に bot への指示が含まれているかを確認します。もし、指示が含まれていた場合、その指示の要求を実行し、同時にメッセージそのものを非表示とします。この bot は通信回線を利用することに加え、 bot への指示が容易には見つからないような工夫が施されています。現在公開されているセキュリティ対策アプリケーションは、これらの bot の挙動を発見することは難しいのが現状です。この新たな脅威は、 Android だけに留まらず、 iPhone などでも悪用される可能性があり、近い未来に悪用される可能性があります。本コードは、新たに手を加えなければ bot としては動作しません。そのため、関連情報(3)のデモ動画をご参照ください。5.関連情報(1) Shmoocon2011 http://www.shmoocon.org/(2) Blackhat 2009 - Fuzzing the Phone in your Phonehttp://www.blackhat.com/presentations/bh-usa-09/MILLER/BHUSA09-Miller-FuzzingPhone-PAPER.pdf(3) Shmoocon 2011 Smartphone Botnets over SMS Demohttp://vimeo.com/193721186.ソースコード(Web非公開)(執筆:株式会社ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所)※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。Scan Tech Reporthttp://scan.netsecurity.ne.jp/archives/51916302.html
