読者です 読者をやめる 読者になる 読者になる

この日記は私的なものであり所属会社の見解とは無関係です。 GitHub: takahashikzn

カレログ=マルウェア(McAfee的に)

ほんの数日だけネットの話題をかっさらったカレログ。
これって如何なものか?という皆様の感覚はMcAfeeに伝わっていたようです。
速攻でマルウェア認定されています。

http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=575603


日付を見ると…8/31?
ということは、リリースの翌々日ということですかね。何と素早い(笑)

とりあえず日本語訳

何かヘンだったらコメント下さい。

Description
詳細


Android/Logkare.A is spyware that monitors call history, list of installed applications, GPS location and battery level of victim device.


Android/Logkare.Aは、通話履歴・インストール済みアプリケーション一覧・GPSを用いた現在位置の把握・残バッテリーを監視するためのスパイウェアです。

スパイウェア断定、キタ━(゚∀゚)━!

Indication of Infection
感染時の挙動


Monitors call history, list of installed applications, GPS location and battery level of victim device.


通話履歴・インストール済みアプリケーション一覧・GPSを用いた現在位置の把握、残バッテリーを監視します。

Methods of Infection
感染経路


This PUP requires that the user intentionally install it upon the device. As always, users should never share the device with an unknown/untrusted person. This is legitimate software, but it includes functions to transmit personal information to a third party without the user's knowledge and explicit consent.
Users should protect their device with a PIN or other security lock when not in use, in order to prevent an attacker from installing the PUP.


このプログラムは、ユーザーが意図的にインストールするものです。

通常、自分のデバイス(携帯電話など)を、赤の他人と共有することはありません。
このプログラムは合法的なものではあるものの、個人情報を同意なしで勝手に送信し続ける機能を持っています。
勝手にこのプログラムをインストールされないように、ユーザーは自分のデバイスをパスワードなどで保護しておくべきです。

Virus Characteristics
ウイルスの特徴


Android/Logkare.A pretends to be a GPS Control manager. Android/Logkare.A is started up manually by the user from menu icon.
At first run, Android/Logkare.A shows its EULA and asks for user's e-mail address.
Once the user's e-mail address is input, Android/Logkare.A posts device information to the outside website, then it shows GPS location setting screen on device.
Android/Logkare.A starts a service "BackendService" in the background and monitors GPS location and battery level of the device and posts them to the website. It also monitors call history and list of installed applications.
Once the registration is completed, Android/Logkare.A never asks for user's email address. It only shows GPS location screen when it is started up.


Android/Logkare.AはGPSコントロールマネージャーのように偽装されており、ユーザーがメニューから手動で起動します。


初回起動時に、Android/Logkare.AはEULA(使用許諾契約書)を表示し、ユーザーのメールアドレスの入力を求めます。
メールアドレスを入力すると、Android/Logkare.Aはデバイスの情報を外部サイトへ送信し、その後GPSの設定画面(訳注:これであってる?)を表示します。


その後、Android/Logkare.Aは"BackendService"という名前でシステムに常駐し、通話履歴・インストール済みアプリケーション一覧・GPSによる現在位置の把握・バッテリー残量といった情報を先の外部サイトへ送信し続けます。


Android/Logkare.Aがユーザーのメールアドレスを尋ねるのは初回だけです。
以後は、GPSを起動すると単に現在位置画面を表示するだけです。


うーむ。挙動がどうみてもマルウェアです。本当にありがとうございました。


ところで

マルウェアの名称ですが、カレログ→Logkare(ログカレ)になってますね。

何で逆転するんだろ。そういう命名規約でもあるんだろうか。


(↑への追記)
どこで読んだか忘れましたが、ウィルスの名称をそのまま使うと、
逆に宣伝になってしまうことがあるため、
作者やウィルス名をそのまま使わないようにするという慣習があるそうです。