PR
図1 今回のウイルスのインストール時に表示される画面例(米トレンドマイクロの情報から引用。以下同じ)
図1 今回のウイルスのインストール時に表示される画面例(米トレンドマイクロの情報から引用。以下同じ)
[画像のクリックで拡大表示]
図2 司令塔サーバーのURLをアップロードしたブログページの例
図2 司令塔サーバーのURLをアップロードしたブログページの例
[画像のクリックで拡大表示]
図3 ウイルスのアップデートプログラムをアップロードしたブログページの例
図3 ウイルスのアップデートプログラムをアップロードしたブログページの例
[画像のクリックで拡大表示]

 米トレンドマイクロは2011年10月4日、Androidで動作する新たなウイルス(悪質なプログラム)を確認したとして注意を呼びかけた。攻撃者のブログに置かれたプログラムをダウンロードして、自分自身をアップデートすることなどが特徴。

 今回報告されたウイルスは、Androidで動作する電子書籍リーダーアプリに見せかけている(図1)。非公式のアプリ配布サイトで公開されているという。

 実行されたウイルスはAndroid端末に感染。その端末を乗っ取り、攻撃者が遠隔から操作できるようにする。感染したウイルスは、“司令塔”となる特定のサーバー(C&Cサーバー;コマンド&コントロールサーバーと呼ばれる)にアクセスし、攻撃者からの命令を待ち受ける。ここまでは、よくあるAndroidウイルスの挙動だ。

 異なるのは、司令塔に加えて、あるブログサイトにもアクセスすること。アクセスするのは、攻撃者の支配下にあるブログページ。攻撃者は、このページに命令やプログラムをアップロードすることでも、ウイルスを操作できる。

 例えば、本来の司令塔サーバーが使えなくなった場合には、代わりとなる司令塔サーバーのURLを記述したファイルを、ブログにアップロードする(図2)。ファイルは暗号化されているので、そのまま見ても分からない。

 ブログには、ウイルスをアップデートするためのプログラムが置かれることもある(図3)。同ブログにアクセスしたウイルスは、そのプログラムをダウンロードして、自分自身をアップデートする。

 同社によれば、ブログを悪用するウイルスは、これが初めてではないという。Windowsで動作するウイルスの中には、ブログを悪用するものが確認されている。だが、Androidで動作するウイルスとしては、今回のウイルスが初めてだろうとしている。