Android SMSワームSelfmiteが復帰し、これまで以上に攻撃的

Selfmiteと呼ばれるAndroidワームの新しいバージョンは、被害者ができるだけ多くの端末に感染を広げようとする際に、膨大なSMS料金を引き上げる可能性があります。

6月に発見されたが、その流通はセキュリティ研究者によって急速に中断された。 Android生態系のまれなタイプのマルウェアであるワームは、悪意のあるAPK（Androidパッケージ）へのリンクを含むテキストメッセージを、すべての被害者のアドレス帳の最初の20個のエントリに送信することで広がります。

セキュリティ企業AdaptiveMobileの研究者によれば、Selfmite.bと呼ばれるこのシステムは、同様の、しかしより積極的な拡散システムを備えています。

[詳しい読書：あなたのWindows PCからマルウェアを削除する方法]

「私たちのデータによると、Selfmite。 bは、100を超える感染したデバイスから過去10日間に150,000以上のメッセージを送信する責任を負っています」とアダムズモバイルのセキュリティアナリスト、Denis Maslennikov氏はブログの記事で水曜日に述べています。 「これをSelfmite.aと比較して100倍以上のトラフィックをSelfmite.aと比較したものにする」。

鼻で支払う

感染したデバイス1台あたり平均で1,500件のテキストメッセージが送信される。モバイルプランに無制限のSMSメッセージが含まれていないユーザーには、非常にコストがかかる可能性があります。一部のモバイル通信事業者は、虐待を検出してブロックする可能性がありますが、被害者が正当なテキストメッセージを送信できなくなる可能性があります。

北米のデバイスで主に使用されていたSelfmite.aとは異なり、Selfmite.bはガーナ、インド、イラク、ジャマイカ、メキシコ、モロッコ、プエルトリコ、ロシア、スーダン、シリア、アメリカ、ベネズエラ、ベトナムの少なくとも16カ国： .glマルウェアのAPKインストーラを指し示すスパムメッセージの短縮URL。これらのURLはアプリのコードにハードコードされていたので、Googleによって無効にされるとgoo.gl URL短縮サービスのオペレータ、Selfmite.aの配信が停止した。

ワームの作者は新しいバージョンでは別のアプローチをとった。彼らはまだGo Daddyのx.coサービスで生成されたテキストメッセージの短縮URLを使用しますが、URLはワームがサードパーティのサーバから定期的にダウンロードする設定ファイルで指定されます。

リモート設定

"私たちはGo Daddyに悪質なx.co URLを通知し、現時点では短縮URLは両方とも無効化されました」とMaslennikov氏は述べています。しかし、ワームの作者が構成ファイルを使用してリモートから変更することができるため、感染プロセス全体を停止することが難しくなります」。

Selfmiteの目的は、ペイパー - さまざまなアプリやサービスを宣伝してスキームをインストールします。古いバージョンでは、ユーザーがAndroidデバイスをPCと同期させ、別のアプリケーションストアからAndroidアプリをダウンロードできる正当なアプリケーションであるMobogenieが配布された。

Selfmite.bは、デバイスのホーム画面に2つのアイコンを作成し、 1つはMobo Marketと呼ばれるアプリに。ただし、Webリンクとして動作し、それらをクリックすると、被害者のIP（インターネットプロトコル）アドレスの場所によって、異なるアプリやオンラインサービスにつながる可能性があります。

幸いにも、ワームの流通システムは悪用を使用せず、社会工学ユーザーはスパムのリンクをクリックし、ダウンロードしたAPKを手動でインストールしてデバイスを感染させる必要があります。さらに、Androidのデフォルト設定ではない、Google Play以外の未知のソースからのアプリのインストールを許可するように端末を設定する必要があります。これにより、攻撃の成功率がさらに制限されます。