2017年6月のモバイルマルウェア

2017年7月3日

株式会社Doctor Web Pacific

Doctor Webは、2017年6月におけるモバイルデバイスを狙った脅威についての総括をここに報告します。6月にはAndroidを標的とした複数のトロイの木馬やリスクウェアがGoogle Play上で同時に発見されたほか、SDカード上のファイルを暗号化する危険なランサムウェアが拡散されました。

6月には、イランのモバイルデバイスユーザーを攻撃してサイバー犯罪者から受け取ったコマンドを実行するAndroid向けトロイの木馬が発見され、Google Play上に複数の悪意のあるアプリケーションが登場しました。それらのアプリケーションの1つはルート権限の取得を試み、システムライブラリに侵入し、密かにソフトウェアをインストールする機能を備えていました。その他のアプリケーションは高額な番号に対してSMSメッセージを送信し、ユーザーを有料サービスに登録させるものでした。Google Playからは、使用することで個人情報を流出させる恐れのあるリスクウェアも拡散されていました。また、Android向けの新たな暗号化トロイの木馬も発見されています。

6月のモバイル脅威

6月、イランのモバイルデバイスユーザーに対して攻撃を行う Android.Spy.377.origin が、Doctor Webのセキュリティリサーチャーによって発見されました。この悪意のあるプログラムは機密情報を盗み、それらをサイバー犯罪者に送信します。また、犯罪者から受け取ったコマンドを実行する機能も備えています。

Android.Spy.377.origin は以下の特徴を備えています：

• 無害なアプリケーションを装って拡散されます。
• 連絡先リスト、受信および送信SMSメッセージ、Googleアカウントデータを盗みます。
• デバイスのフロントカメラで写真を撮ります。
• Telegramプロトコルを介してサイバー犯罪者によって管理されます。
• この脅威に関する詳細についてはこちらの記事をご覧ください。

Android.Spy.377.originに関する詳細についてはこちらの記事をご覧ください

Dr.Web for Androidによる統計

Android.HiddenAds.83.origin

Android.HiddenAds.76.origin

Android.HiddenAds.85.origin

モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.DownLoader.337.origin

モバイルデバイス上に別の悪意のあるプログラムをダウンロードするトロイの木馬です。

Android.Triada.264.origin

様々な悪意のある動作を実行する、マルチコンポーネントトロイの木馬です。

Adware.Jiubang.1

Adware.SalmonAds.1.origin

Adware.Batmobi.4

Adware.Avazu.8.origin

Adware.Leadbolt.12.origin

Androidアプリケーション内に組み込まれた不審なプログラムモジュールです。モバイルデバイス上に広告を表示させます

GOOGLE PLAY上の脅威

6月、ウクライナでブロックされているソーシャルネットワークサイト「VK」や「Odnoklassniki」へのアクセスを可能にするリスクウェアがGoogle Play上で発見されました。 Program.PWS.1 としてDr.Webウイルスデータベースに追加されたこれらのアプリケーションは、サイトのブロックを回避するために匿名化サーバーを使用し、また、ログインやパスワード、その他のユーザーの個人情報を暗号化していませんでした。この脅威に関する詳細についてはこちらの記事をご覧ください。

6月には、 Android.Dvmap ファミリーに属するトロイの木馬がGoogle Play上で発見されています。これらの悪意のあるプログラムは、起動されるとモバイルデバイスのルート権限を取得しようと試みます。成功すると、システムライブラリを感染させ、追加のコンポーネントをインストールします。これらのトロイの木馬はサイバー犯罪者から受け取ったコマンドを実行するほか、ユーザーの操作なしに別のアプリケーションをダウンロード・起動させることができます。

6月にGoogle Playから拡散されたまた別のトロイの木馬は、 Android.SmsSend.1907.origin および Android.SmsSend.1908.origin としてDr.Webウイルスデータベースに追加されました。サイバー犯罪者はこれらを無害なプログラム内に組み込んでいます。これらの悪意のあるアプリケーションは高額な番号に対してSMSメッセージを送信し、サービスプロバイダのカスタマーを有料サービスに登録します。その後、トロイの木馬は、有料サービスに登録されたことを知らせる通知をユーザーが受け取ることのないよう、受信する全てのメッセージを削除していきます。

ランサムウェア型トロイの木馬

6月には、ランサムウェア Android.Encoder.3.origin が発見されました。このランサムウェアは中国のAndroidユーザーを標的とし、SDカード上のファイルを暗号化します。このエンコーダーの製作者は、2017年5月に世界中で数十万台のコンピューターを感染させた暗号化ランサムウェアWannaCryに着想を得ており、身代金を要求するメッセージに似たようなデザインを使用していました。

サイバー犯罪者は20元の身代金を要求し、その額は3日ごとに倍になります。 Android.Encoder.3.origin がモバイルデバイスを感染させてから1週間以内に身代金が支払われなかった場合、暗号化されたファイルが削除されます。

Android向けの悪意のあるプログラムやリスクウェアは、様々なウェブサイトだけでなくGoogle Playからダウンロードされることでモバイルデバイスを感染させています。未知のアプリケーションをインストールする際は十分に注意し、Dr.Web for Androidを使用することをお勧めします。