Skip to content

Instantly share code, notes, and snippets.

@ym405nm
Last active December 11, 2015 03:38
Show Gist options
  • Save ym405nm/4538794 to your computer and use it in GitHub Desktop.
Save ym405nm/4538794 to your computer and use it in GitHub Desktop.

#Androidマルウェア解析メモ

##はじめに ここでは偶然入手したAndroidアプリが、ユーザの意図しないタイミングで送信されていることが分かり、簡単に解析をしたので、メモレベルですが共有します。

##ダイレクトメール

私の元にこのようなメールが届きました。私も携帯の電池切れには悩んでいるので、このような便利なアプリがあればぜひ使いたいと思い調査しようと思いました。

Mail

##ランディングページ

まずメールに記載されていたURLをクリックすると、アクセスを拒否するという画面が開きました。

Forbidden

仕方がないので、リクエストを変えて、スマートフォンからのアクセスと見せかけてアクセスをしてみました。

するとGoogle Playそっくりの画面が出てきました。ここに記載されているのは100,000+件のダウンロード数すごい!しかも先着300名様は無料!これはダウンロードしなければと思わせる書き方です。

Landing

##アプリインタフェース

さっそく起動してみましょう。 起動してみると、残念ながら私の機種では動作対象外と表示されました。

Splash

ところが、Logcatで端末のログ見ると見慣れたメールアドレスが記載されています。 これは私が電話帳に入れている連絡先ではないでしょうか。

Logcat

先ほどの動作においてどのような通信が行われたかを追いかけてみると、 あるサーバに対し連絡先の情報を送信しているみたいです。 どうやらこれは電池の使用を改善するアプリではなく、 端末に入っている連絡先を送信するアプリだったようです。

Cap

##結論

最近話題のAndroid端末における情報収集アプリですが、「大人気」「限定」「電池改善」といった利用者がダウンロードしたくなるような謳い文句で近づいてきます。

「私はメールアドレスを友達にしか教えてないから大丈夫」と思っていても、メールアドレスを知っている友人がこのようなアプリの被害にあうことにより、新たな標的として見られる可能性もあるようです。

便利なアプリの情報を入手した場合は、残念ながら疑いの気持ちをもって見ていかなくてはなりません。 いくら限定と言われても、ダウンロードすらしないくらいの気持ちで接するほうがいいのかもしれません。

##参考文献

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment