Threats to mobile devices
02.04 2019年1月のモバイルマルウェアレビュー
2019年2月4日
株式会社Doctor Web Pacific
2019年1月、多くのマルウェアがAndroidデバイスを攻撃しました。1月上旬にはサイバースパイ行為を行うために設計されたトロイの木馬 Android.Spy.525.origin についてDoctor Webのウイルスアナリストによる調査が行われ、その後、複数のアドウェア型トロイの木馬が発見され、 Android.HiddenAds.361.origin および Android.HiddenAds.356.origin と名付けられました。また、ブックメーカーの公式アプリケーションを装って拡散される Android.Click ファミリーに属する新たなクリッカーが複数検出されたほか、スマートフォンやタブレット上にAndroidバンカーをダウンロードする Android.DownLoader ファミリーに属するダウンローダ型トロイの木馬も拡散されています。
1月の主な傾向
- Google Play上で悪意のあるプログラムを検出
- Androidを標的とするスパイウェア型トロイの木馬を検出
1月のモバイル脅威
1月上旬、スパイウェア Android.Spy.525.origin がDr.Webのウイルスデータベースに追加されました。このスパイウェアは便利なアプリケーションを装ってGoogle Playから拡散されていたほか、訪問者をポピュラーなファイル共有リソース MediaFire にリダイレクトする悪質なWebサイトからも拡散されていました。 MediaFire にはトロイの木馬のコピーが置かれています。
Android.Spy.525.origin はC&Cサーバーからのコマンドに従って感染したスマートフォンやタブレットの位置情報を追跡し、テキストメッセージの履歴を盗み、通話に関する情報や電話帳のデータ、デバイスに保存されたファイルを取得し、フィッシングウィンドウを表示させることができます。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.RemoteCode.197.origin
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
- Android.HiddenAds.261.origin
- Android.HiddenAds.659
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Mobifun.4
- 様々なアプリケーションをダウンロードするトロイの木馬です。
- Adware.Zeus.1
- Adware.AdPush.29.origin
- Adware.Patacore.1.origin
- Adware.Patacore.168
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
Google Play上の脅威
1月には Android.Spy.525.origin の他にもGoogle Play上で脅威が発見されています。初旬には Android.HiddenAds.361.origin と Android.HiddenAds.356.origin がウイルスデータベースに追加されました。これら悪意のあるプログラムは2018年12月の記事で紹介した Android.HiddenAds.343.origin の亜種で、便利なプログラムを装って拡散されていました。起動されると、自身のアイコンを隠し、広告を表示させます。
そのほか、Doctor Webのマルウェアアナリストは様々なダウンローダについて調査を行いました。 Android.DownLoader.4063、 Android.DownLoader.855.origin、 Android.DownLoader.857.origin、 Android.DownLoader.4102、 Android.DownLoader.4107 と名付けられたそれらトロイの木馬は、通貨コンバータや公式バンキングアプリケーションなどの便利なプログラムを装って拡散されていました。これらのトロイの木馬は、金融機関の口座から機密情報と金銭を盗むよう設計されたAndroidバンカーをモバイルデバイス上にダウンロードし、インストールしようと試みます。
そのようなバンキング型トロイの木馬の1つ Android.BankBot.509.origin は、2018年12月に報告した Android.BankBot.495.origin の亜種です。このバンカーはアクセシビリティサービスを使用してボタンやメニュー項目を自動的にタップすることで、インストールされているアプリケーションを密かに操作しようとします。 Android.BankBot.508.origin と名付けられたまた別のトロイの木馬はフィッシングウィンドウを表示させ、ユーザーの認証情報やその他の個人情報を盗もうとします。また、取引に必要な確認コードを含んだテキストメッセージを横取りします。
1月下旬、Doctor Webのエキスパートは Android.Click.651、 Android.Click.664、 Android.Click.665、 Android.Click.670を含む、 Android.Click ファミリーに属する新たなクリッカー型トロイの木馬を発見しました。ブックメーカーの公式アプリケーションを装って拡散されるこれらトロイの木馬は、C&Cサーバーからのコマンドに従って任意のWebサイトをロードすることが可能であることから、深刻な脅威となっています。
Doctor Webのスペシャリストはモバイルデバイスを狙ったウイルスの状況について監視を続け、悪意のあるプログラムや不要なプログラムを検出・削除するためにDr.Webウイルスデータベースを即時にアップデートしています。したがって、Dr.Web for Androidによって保護されているスマートフォンやタブレットに危害が及ぶことはありません。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億4000万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
01.11 2018年のモバイルマルウェアレビュー
2019年1月11日
株式会社Doctor Web Pacific
2018年も、Androidモバイルデバイスユーザーは依然として多数の悪意のあるプログラムや不要なプログラムの標的となり、それらプログラムの多くがGoogle Playから拡散されていました。また、2017年から見られた、様々な手法を用いてトロイの木馬を隠し、検出を困難にするという傾向が顕著に強まっています。
2018年に拡散されたモバイルデバイスユーザーに対する主な脅威の1つが、世界中で金融機関の利用者を攻撃するAndroidバンカーです。インターネットから任意のコードをダウンロードして実行する機能を備えたマルウェアもまた、深刻な脅威となっています。
ウイルス作成者は詐欺行為を実行するために積極的にトロイの木馬を拡散させていたほか、不正な収益を得るために他の悪意のあるアプリケーションも使用していました。また、モバイルデバイス上で仮想通貨のマイニングを実行しようと試み、Androidデバイスのクリップボードにあるデジタルウォレットの番号を置き換えるクリッパートロイの木馬も使用しています。
モバイルデバイスのファームウェアの製造段階での感染は引き続き問題となっています。2018年春には、Android OSのイメージ内にトロイの木馬が埋め込まれており、40を超えるモバイルデバイスのモデルが感染しているということがDoctor Webのウイルスアナリストによって明らかになりました。
そのほか、2018年を通して悪意のあるスパイウェアがユーザーを脅かしました。
2018年の主な傾向
- Google Play上で悪意のあるプログラムや不要なプログラムを新たに検出
- マルウェアの検出を妨げようとするウイルス作成者の試み
- 世界中で金融機関の利用者を攻撃するバンキング型トロイの木馬
- 悪意のある動作を自動化するためにAndroidのアクセシビリティサービスを利用するトロイの木馬
- クリップボードのデジタルウォレット番号を置き換えるクリッパートロイの木馬の拡散
最も注目すべきイベント
2018年の初め、情報セキュリティスペシャリストは、スマートテレビやルーター、ストリーミングボックス、およびその他のAndroidデバイスを感染させるトロイの木馬マイナー Android.CoinMine.15 の拡散を検出しました。このトロイの木馬は Android Debug Bridge(ADB) を使用するデバイスを感染させますが、その際、ランダムなIPアドレスを生成して、開いている5555番ポートに接続しようとします。接続に成功すると、自身のコピーと補助ファイルをデバイス上にインストールします。このファイルには Monero(XMR) をマイニングするソフトウェアが含まれています。
3月、Doctor WebはAndroidデバイスの40を超えるモデルのファームウェアにトロイの木馬 Android.Triada.231 が埋め込まれているという新たなケースを発見しました。 Android.Triada ファミリーに属する他の亜種は個別のアプリケーションとして拡散されますが、 Android.Triada.231 は正体不明の犯罪者によってソースコードレベルでシステムライブラリの1つに埋め込まれていました。このトロイの木馬はプログラムを起動させるシステムプロセスである Zygote に自身を埋め込みます。その結果、 Android.Triada.231 は他のプロセスを感染させ、密かに悪意のある動作(ユーザーの操作なしにソフトウェアをダウンロード、インストール、削除するなど)を実行することが可能になります。この脅威に関する詳細については、こちらの記事をご覧ください。
犯罪者は、悪意のあるプログラムや不要なプログラムが検出されることを防ぐために多種多様な手法を用いるようになってきています。2018年もこの傾向は続きました。マルウェアをユーザーに気づかれにくくするための最も一般的な方法はダウンローダの使用です。ダウンローダによって、トロイの木馬やその他の危険なソフトウェアがアンチウイルスソフトウェアに検出されるまでの時間をより長くし、ユーザーが疑いを持たないようにすることが可能になります。これらのダウンローダを使用して、サイバー犯罪者はスパイウェア型トロイの木馬など様々なマルウェアを拡散させることができます。
4月、ダウンローダ Android.DownLoader.3557 がGoogle Play上で発見されました。このダウンローダは、重要なプラグインを装った悪意のあるソフトウェア Android.Spy.443.origin と Android.Spy.444.origin をデバイス上にダウンロードし、それらをインストールするようユーザーに促します。これらトロイの木馬は感染したスマートフォンやタブレットの所在地を追跡し、利用可能なすべてのファイルに関する情報を取得し、サイバー犯罪者にユーザーのドキュメントを送信し、SMSメッセージを送信または盗み、デバイスのマイクを使用して周囲の音を録音し、動画を撮り、通話を傍受し、連絡先リストからデータを盗み、さらにその他の動作も実行します。
8月にはダウンローダ Android.DownLoader.784.origin がGoogle Play上で発見されています。このダウンローダはスパイウェア型トロイの木馬 Android.Spy.409.origin をデバイス上にダウンロードします。Android.DownLoader.784.origin は『Zee Player』というアプリケーションに埋め込まれていました。このアプリケーションは、トロイの木馬がモバイルデバイスのメモリ内に保存されている写真や動画を非表示にすることを可能にします。ユーザーが疑いを抱くことのないよう、このプログラムは実際にアプリケーションの機能を実行するようになっています。
ダウンローダ型トロイの木馬は、Androidバンカーの拡散に使用されるケースが多くなっています。7月、金融機関のアプリケーションを装った Android.DownLoader.753.origin がGoogle Play上で発見されました。これらトロイの木馬のいくつかは、信頼性を高めるために実際にアプリケーションの機能を実行します。 Android.DownLoader.753.origin は、機密情報を盗む様々なバンキング型トロイの木馬をダウンロードし、それらをインストールしようと試みます。
その後、同様の悪意のあるプログラムが複数、Google Play上で検出されています。 Android.DownLoader.768.origin と名付けられたそのうちの1つは、シェル社の公式ソフトウェアを装って拡散されていました。 Android.DownLoader.772.origin としてDr.Webのウイルスデータベースに追加されたまた別のトロイの木馬は、便利なユーティリティを装っていました。いずれのトロイの木馬もAndroidバンカーをダウンロード・インストールするために使用されていました。
ダウンローダはモバイルデバイスを他のマルウェアに感染させるために使用されます。10月、VPNクライアントを装ってGoogle Playから拡散されていたトロイの木馬 Android.DownLoader.818.origin が発見され、その後、このトロイの木馬の亜種 Android.DownLoader.819.origin と Android.DownLoader.828.origin が偽のゲームに含まれて拡散されていることがDoctor Webのエキスパートによって明らかになりました。これらトロイの木馬はアドウェア型トロイの木馬をインストールしようと試みます。
マルチコンポーネントな悪意のあるアプリケーションは、ますます一般的になってきています。この様なアプリケーションでは各モジュールが特定の機能を実行するため、犯罪者は必要に応じてトロイの木馬の機能を拡張することが可能です。この動作原理は、脅威の検出を妨げるために利用されています。ウイルス作成者はこれらプラグインを素早くアップデートすることで、トロイの木馬の本体に最小限の機能のセットだけを残し、その結果、検出されにくくすることができます。
2月、Doctor Webのエキスパートはそのようなマルチコンポーネントトロイの木馬である Android.RemoteCode.127.origin を発見しました。450万をこえるユーザーによってダウンロードされていたこのトロイの木馬は、様々な動作を実行する悪意のあるモジュールをダウンロードして起動させます。 Android.RemoteCode.127.origin のプラグインの1つは、無害であると見せかけた画像に隠されたパッチを使用して自身をアップデートします。悪意のあるオブジェクトを画像内に隠すこのような手法(ステガノグラフィ、 steganography) はウイルスアナリストの間で既に知られていますが、ウイルス作成者によって使用された例はごくわずかです。
複号化されて起動されると、このモジュールは別のプラグインが隠されたまた別の画像をダウンロードししますが、このプラグインが Android.Click.221.origin をダウンロードして起動させます。次に、Webサイトをバックグランドで開き、サイト上にあるリンクやバナーなどのアイテムをクリックします。こうして、サイバー犯罪者はWebサイトのトラフィックを増加させ、バナーをクリックすることで収益を得ることができます。
以下は、 Android.RemoteCode.127.origin の暗号化されたモジュールを含んだ画像の例です。
この脅威に関する詳細については、こちらの記事をご覧ください。
Android.RemoteCode.152.origin は、任意のコードをロードして実行することのできるまた別のマルチコンポーネントトロイの木馬です。650万を超えるユーザーによってインストールされていたこのトロイの木馬は、広告プラグインを含む補助モジュールを密かにダウンロードして起動させます。 Android.RemoteCode.152.origin はこれらのモジュールを使用して見えない広告バナーを作成し、それらをクリックすることでウイルス作成者に収益をもたらします。
8月、Doctor Webのアナリストはクリッパートロイの木馬 Android.Clipper.1.origin と、その亜種である Android.Clipper.2.origin について調査を行いました。良く知られた無害なアプリケーションを装って拡散されていたこの悪意のあるプログラムは、仮想通貨Bitcoin、 Monero、 zCash、 DOGE、 DASH、 Etherium、 Blackcoin、 Litecoinに加え、 QIWI、 WebMoney (R and Z)、 Yandex.Money 決済システムのデジタルウォレット番号を置き換えることができます。
ユーザーがデジタルウォレット番号をクリップボードにコピーすると、 Android.Clipper.1.origin はその番号をC&Cサーバーに送信します。次に、応答としてサイバー犯罪者のウォレット番号を受け取り、元の番号の代わりにそれをクリップボードに追加します。その結果、置き換えに気づいていないユーザーはサイバー犯罪者のアカウントに送金してしまうことになります。この脅威に関する詳細については、こちらの記事をご覧ください。
モバイルマルウェアに関する状況
Android製品上でDr. Webによって検出された脅威に関する統計によると、2018年にはアドウェア型トロイの木馬、悪意のあるソフトウェアや不要なソフトウェアをダウンロードするマルウェア、不要なソフトウェア、サイバー犯罪者のコマンドを実行するトロイの木馬が最も多く検出されています。
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドに従って悪意のある動作を実行するトロイの木馬です。
- Android.Mobifun.4
- Androidデバイス上に様々なソフトウェアをダウンロードするトロイの木馬です。
- Android.HiddenAds
- 広告を表示させるよう設計されたトロイの木馬ファミリーです。
- Android.DownLoader.573.origin
- ウイルス作成者によって指定されたアプリケーションをダウンロードするマルウェアです。
- Android.Packed.15893
- プログラムパッカーで保護されたAndroidトロイの木馬です。
- Android.Xiny.197
- 主にアプリケーションをダウンロード・削除するよう設計されたトロイの木馬です。
- Android.Altamob.1.origin
- 悪意のあるモジュールを密かにダウンロード・起動させるアドウェア型トロイの木馬です。
2018年にAndroidデバイス上で検出された不要なプログラムと潜在的に危険なアプリケーションについては、広告を表示させるモジュールが最も多く、そのほかに、様々なソフトウェアをダウンロード・インストールするアプリケーションも検出されています。
- Adware.Zeus.1
- Adware.Altamob.1.origin
- Adware.Jiubang
- Adware.Adtiming.1.origin
- Adware.Adpush.601
- Adware.SalmonAds.3.origin
- Adware.Gexin.2.origin
これらは、迷惑な広告を表示させるためにソフトウェア開発者やウイルス作成者によってアプリケーション内に組み込まれた不要なモジュールです。
- Tool.SilentInstaller.1.origin
- Tool.SilentInstaller.6.origin
他のアプリケーションをダウンロード・インストールするよう設計された潜在的に危険なプログラムです。
バンキング型トロイの木馬
バンキング型トロイの木馬は依然としてモバイルデバイスユーザーにとって深刻な脅威となっています。これら悪意のあるアプリケーションは金融機関の利用者のアカウントにアクセスするための認証情報、銀行カードの詳細、そして金銭を盗むために利用できるその他の機密情報を盗みます。2018年にはDr.Web for Androidによって11万を超えるバンキング型トロイの木馬がスマートフォンやタブレット上で検出されています。以下のグラフはAndroidバンカーの検出推移です。
バンキング型トロイの木馬 Android.BankBot.149.origin のソースコードが2016年の末にその作成者によって公開された際、Doctor Webのエキスパートは、このトロイの木馬に類似する様々なマルウェアが出現することになると予測しました。この予測は現実のものとなり、ウイルス作成者は同様のバンカーを積極的に作成するようになったほか、それらを改良したり新たな機能を追加したりするようになりました。2018年には、そのようなトロイの木馬の1つである Android.BankBot.250.origin と、その新たな亜種であり、より危険なバージョンである Android.BankBot.325.origin が拡散されました。Anubisとしても知られるこのバンカーは、多機能な悪意のあるアプリケーションです。ユーザーから機密データや金銭を盗むだけでなく、多くのコマンドを実行する機能も備えています。また、 Android.BankBot.325.origin をリモート管理ユーティリティとして使用することで、サイバー犯罪者は感染させたデバイスにアクセスすることが可能です。この脅威に関する詳細については、こちらの記事をご覧ください。
3月、Doctor Webのエキスパートは「VSEBANKI – Vse banki v odnom meste(ALLBANKS – すべての銀行を一か所に)」と呼ばれるアプリケーションにトロイの木馬 Android.BankBot.344.origin が潜んでいることを発見しました。犯罪者は、このアプリケーションは複数のロシアの金融機関のオンラインバンキングに使用できるユニバーサルアプリケーションであると謳っています。
起動されると、 Android.BankBot.344.origin はログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するようユーザーに促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。その結果、犯罪者はユーザーから金銭を盗むことが可能になります。
秋には、同じくGoogle Playから拡散されてスペイン、フランス、ドイツの金融機関の利用者を攻撃していたバンカー Android.Banker.2876 についてウイルスアナリストによる調査が行われました。このトロイの木馬はフィッシングウィンドウを表示して電話番号を入力するようユーザーに促し、それらの情報を犯罪者に送信します。その後、 Android.Banker.2876 はSMSメッセージを横取りし、その内容も犯罪者に送信します。その結果、犯罪者は銀行取引を確定するためのワンタイムパスワードやフィッシング攻撃に使用することのできるその他の機密情報を入手することが可能になります。
その後間もなくして、Doctor Webのウイルスアナリストは、ブラジルの金融機関の利用者を攻撃しているトロイの木馬 Android.BankBot.495.origin をGoogle Play上で発見しました。このトロイの木馬はAndroidのアクセシビリティ機能を使用して実行中のアプリケーションのウィンドウの内容を読み取り、機密情報を犯罪者に送信するほか、ボタンを自動的にタップしてプログラムの動作をコントロールします。また、偽のウィンドウを表示させ、認証情報やクレジットカード情報、その他の機密情報を入力するようユーザーに促す機能も備えています。
詐欺
Androidデバイス向けのマルウェアを詐欺行為に使用するサイバー犯罪者が増えています。2018年にはそのような事例が多く確認されました。そのうちの1つが、4月に記事を掲載した Android.Click.245.origin です。このトロイの木馬は良く知られたアプリケーションを装って拡散されていましたが、実際には偽のWebページを開き、ユーザーに電話番号を入力させた後、様々なソフトウェアをダウンロードさせます。電話番号を入力したユーザーは「ダウンロード」を完了するために必要とされる確認コードが含まれたSMSメッセージを受け取ります。ところが、このコードを入力したユーザーは有料サービスに登録されてしまいます。感染させたデバイスがモバイル通信経由でインターネットに接続していた場合、ユーザーは偽のダウンロードボタンをクリックした直後に Wap-Click テクノロジーを使用して高額なサービスに自動的に登録されます。以下の画像はその例です。
2018年を通して、C&Cサーバーからのコマンドに従ってあらゆるWebページを開くことのできるトロイの木馬が他にもGoogle Play上で発見されています。そのようなトロイの木馬には、 Android.Click.415、 Android.Click.416、 Android.Click.417、 Android.Click.246.origin、 Android.Click.248.origin、 Android.Click.458 などがあります。これらトロイの木馬もまた、レシピ集、マニュアル、音声アシスタント、ゲーム、ブックメーカーアプリケーションなどの便利なプログラムを装って拡散されていました。
偽の調査を行うWebページを開くトロイの木馬 Android.FakeApp ファミリーも多く拡散されました。このファミリーに属するトロイの木馬は、調査に参加することで報酬を得ることができるとしてユーザーを騙します。報酬を受け取るために、ユーザーは手数料を支払うよう要求され、ユーザーが支払いに同意すると指定された金額がサイバー犯罪者に振り込まれます。もちろん、ユーザーが報酬を受け取ることはありません。
また、2018年には詐欺アプリケーション Android.FakeApp と Android.Click が多数発見されています。これらのアプリケーションは、 85,000 を超えるAndroidデバイスのユーザーによってインストールされていました。これらの脅威に関する詳細については、こちらの記事をご覧ください。
今後の傾向と予測
2019年もモバイルデバイスユーザーはバンキング型トロイの木馬による攻撃を受け、ウイルス作成者はそれらトロイの木馬の機能を改良し続けていくものと考えられます。Androidバンカーは幅広いタスクを実行することが可能な多機能なマルウェアへと変化を遂げる可能性があります。
詐欺アプリケーションや広告を表示するトロイの木馬の数も増加するものとみられます。Androidデバイスの処理能力を利用して仮想通貨をマイニングする試みは今後も続くでしょう。また、さらなるファームウェアの感染が起こる可能性も否定できません。
サイバー犯罪者は、アンチウイルスを回避するための方法と、今後Android OSに組み込まれる新しい制限や保護機能を回避するための方法を進化させていくものと考えられます。それらのバリアを回避することのできるルートキットやトロイの木馬にも注意していく必要があります。新しい動作原理を持ち、これまでにない方法で機密情報を入手する悪意のあるプログラムが出現する可能性があります。例えば、モバイルデバイスのセンサーやアイトラッキング(視線追跡)センサーを利用して、入力されたテキストに関する情報を入手する方法などが挙げられます。さらに、機械学習アルゴリズムやその他の人工知能を使用する新しいマルウェアが登場する可能性もあります。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億4000万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
01.09 2018年12月のモバイルマルウェアレビュー
2019年1月9日
株式会社Doctor Web Pacific
12月上旬、ブラジルのAndroidデバイスユーザーはGoogle Playから拡散されたバンキング型トロイの木馬による攻撃を受けました。Google Playでは、その他の悪意のあるアプリケーションもいくつか発見されています。12月の終わりには大量の機密情報を収集する商用スパイウェアの新たなバージョンがDoctor Webのエキスパートによって発見されました。
12月の主な傾向
- ブラジルで新しい危険なバンキング型トロイの木馬の拡散
- モバイルデバイスユーザーを監視する、潜在的に危険なスパイウェアの新たなバージョンを検出
- Google Play上で悪意のあるアプリケーションや不要なアプリケーションを検出
12月のモバイル脅威
12月初旬、ウイルスアナリストは、ブラジルの金融機関の利用者を攻撃していたバンキング型トロイの木馬 Android.BankBot.495.origin について調査を行いました。このマルウェアはAndroidのアクセシビリティ機能を取得しようと試み、その機能を使用することでバンキングアプリケーションをコントロールし、それらアプリケーションのウィンドウの内容を読み取り、機密情報を犯罪者に送信します。さらに、 Android.BankBot.495.origin はアプリケーションの前面にフィッシングウィンドウを表示させ、認証情報、銀行カード情報、その他の機密データを入力するようユーザーに促します。
このトロイの木馬に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds.261.origin
- Android.HiddenAds.659
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.DownLoader.573.origin
- 別のマルウェアアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.Mobifun.4
- 様々なアプリケーションをダウンロードするトロイの木馬です。
- Adware.Zeus.1
- Adware.Patacore.1.origin
- Adware.Adpush.2514
- Adware.AdPush.29.origin
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
Google Play上の脅威
12月を通して、悪意のあるプログラムや不要なプログラムが多数Google Play上で検出されました。それらの中には、ゲームや便利なアプリケーションを装って拡散されていたアドウェア型トロイの木馬 Android.HiddenAds.343.origin と Android.HiddenAds.847 が含まれています。起動されると、これらトロイの木馬はホーム画面から自身のアイコンを隠し、広告を表示させます。
また、不要なモジュールを含んだプログラム Adware.Patacore と Adware.HiddenAds も検出されています。これらのプログラムは、それらが含まれているソフトウェアが実行されていない場合でも広告を表示することができます。合計で530万を超えるユーザーによってインストールされていました。
サイバー犯罪者は詐欺アプリケーションを拡散し続けています。12月にはトロイの木馬 Android.FakeApp.149、 Android.FakeApp.151、 Android.FakeApp.152 が検出され、Dr.Webのウイルスデータベースに追加されました。これら悪意のあるプログラムは詐欺サイトを開き、いくつかの質問に回答することで報酬を得ることができるとユーザーを騙します。ユーザーは「報酬」を受け取るために手数料を支払うよう要求されます。もちろん、その後ユーザーが報酬を受け取ることはありません。
また、ウイルス作成者がユーザーのスマートフォンやタブレットを介してトラフィックをリダイレクトするために使用していたトロイの木馬 Android.Proxy.4.origin も検出されています。 Android.Proxy.4.origin は一見無害なゲームに隠されていました。
サイバースパイ行為
12月に検出された潜在的に危険なプログラムの中に、Androidデバイスユーザーを監視することを可能にする商用スパイウェア Program.Spyzie.1.origin の新しいバージョンがあります。このスパイウェアはテキストメッセージやメールを横取りして読み込み、通話、Webブラウザ履歴、感染したスマートフォンやタブレットの位置情報を追跡します。また、一般的なオンラインメッセンジャーのメッセージ履歴にアクセスし、その他の情報を盗みます。
Androidユーザーは、オンラインとGoogle Playの両方から拡散される様々な悪意のあるプログラムや不要なプログラムの標的となっています。また、犯罪者がモバイルデバイスに物理的にアクセスすることが可能な場合、直接マルウェアをインストールされてしまう可能性もあります。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億4000万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
2018
12.11 ブラジルのモバイルデバイスユーザーを攻撃するバンキング型トロイの木馬
2018年12月11日
株式会社Doctor Web Pacific
Android.BankBot.495.origin はAndroidスマートフォンやタブレットのユーザーをモニターすることを可能にするとされるアプリケーションを装って拡散されていました。このトロイの木馬は、WLocaliza Ache Já、WhatsWhere Ache Já、WhatsLocal Ache Jáと呼ばれるソフトウェアに隠されていました。Doctor WebからGoogle社に対して報告を行ったところ、これらのプログラムは直ちにGoogle Playより削除されました。2,000人を超えるユーザーがこのトロイの木馬をダウンロードしています。
起動すると、 Android.BankBot.495.origin はシステム設定を開き、アクセシビリティオプションを有効にするようユーザーに促すことでアクセシビリティ機能を取得しようとします。ユーザーがトロイの木馬に権限を与えることに同意すると、 Android.BankBot.495.origin はバックグラウンドでプログラムをコントロールし、ボタンをタップし、アクティブなアプリケーションウィンドウからその内容を盗むことができるようになります。
トロイの木馬がアクセシビリティ機能にアクセスすることをユーザーが許可すると、 Android.BankBot.495.origin はウィンドウを閉じ、悪意のあるサービスを開始し、それを使用してバックグラウンドで動作を続けます。次に、 Android.BankBot.495.origin は実行中のプログラムの前面に画面を表示させるためのアクセスを要求します。このオプションは後にフィッシングウィンドウを表示させる際に必要となります。先に取得したアクセシビリティ機能を使用する許可は、許可を要求した際に表示されるあらゆる「PERMITIR(許可)」ボタンを自動的にタップするために使用されます。その結果、システム言語がポルトガル語であれば、トロイの木馬は必要な権限を勝手に取得することができるようになります。
さらに、このトロイの木馬は特別な自己防衛機能を使用して、いくつかのアンチウイルスやユーティリティをトラッキングし、それらが起動されると「戻る」ボタンを4回押してウィンドウを閉じようとします。
Android.BankBot.495.origin は初期設定を受け取るためにリモートホストに接続し、見えないWebViewウィンドウ内で犯罪者から受け取ったリンクを辿ります。何回かリダイレクトされた後、トロイの木馬は2つのC&Cサーバーの暗号化されたIPアドレスがある最後のリンクを受け取ります。次に、 Android.BankBot.495.origin はそれらの1つに接続し、アプリケーションの名前が記載されたリストを受け取ると、それらがデバイス上にインストールされているかどうかを確認してサーバーに報告します。続けて、複数のリクエストを1つずつ送信し、アプリケーションのいずれか1つ(サーバーの設定によって異なる)を起動させるコマンドを受け取ります。Doctor Webによる調査が行われた時点で、このトロイの木馬はデフォルトのSMSアプリケーションのほか、金融機関Banco Itaú S.A.およびBanco Bradesco S.A.のソフトウェアを起動させることが可能でした。
Banco Itaúを起動した場合、このトロイの木馬はアクセシビリティ機能を使用してウィンドウの内容を読み取り、ユーザーの銀行口座の残高に関する情報を犯罪者に転送します。続けて、アプリケーション内の口座管理に移動し、そこで電子取引の確定に使用されるセキュリティコードであるiTokenキーをコピーして犯罪者に送信します。
Bradescoを起動した場合、トロイの木馬はユーザーの口座情報を読み込み、C&Cサーバーから受け取ったPINコードを入力して自動的にログインしようと試みます。 Android.BankBot.495.origin はユーザーの口座残高をコピーし、先に入手しておいた口座情報と一緒に犯罪者に送信します。
SMSアプリケーションを起動させるコマンドを受け取った場合、トロイの木馬はSMSを開き、メッセージのテキストを読み込んで保存し、それらをサーバーに送信します。また、CaixaBank S.A.から受け取ったメッセージを特定することができ、それらを個別のリクエストで送信します。
サイバー犯罪者はフィッシング攻撃にも Android.BankBot.495.origin を使用しています。このトロイの木馬は、Itaucard Controle seu cartão、Banco do Brasil、Banco Itaú、CAIXA、Bradesco、Uber、Netflix、Twitterのソフトウェアを監視します。これらのソフトウェアが起動されるとトロイの木馬はそれを検知し、起動されたアプリケーションのものを模倣した偽のWebページを2つ目のC&Cサーバーからロードしてオーバーレイウィンドウで開きます。ユーザーは口座に関する情報、銀行口座番号、キャッシュカードに関する詳細、ログイン、パスワード、およびその他の機密情報を入力するよう促される場合があります。
以下の画像はそのようなフィッシングページの例です。
ユーザーが入力した情報は犯罪者に送信されます。その後、トロイの木馬は偽のウィンドウを閉じ、模倣の対象となったアプリケーションを再起動させます。アプリケーションのウィンドウが閉じられたことをユーザーが不審に思わないようにするためです。
Androidソフトウェアをインストールする際は、たとえそれがGoogle Playから入手するものであったとしても、十分に注意を払うようにしてください。犯罪者は良く知られたソフトウェアの偽物や、一見無害にみえるアプリケーションを作成することができます。トロイの木馬をインストールしてしまうリスクを減らすために、開発者の名前、アプリケーションがGoogle Playに追加された日付、ダウンロード数、他のユーザーによるレビューに気を付けるようにしてください。また、アンチウイルスを使用することも重要です。
バンキング型トロイの木馬 Android.BankBot.495.origin の既知のすべての亜種はDr.Web for Androidによって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Android.BankBot.495.originの詳細 (英語)
#Android, #Google_Play, #banking_Trojan, #phishing
12.04 2018年11月のモバイルマルウェアレビュー
2018年12月4日
株式会社Doctor Web Pacific
2018年の秋最後の月には、Android向けの新たなバンキング型トロイの木馬がDoctor Webのマルウェアアナリストによって発見されました。このトロイの木馬は欧州の金融機関の利用者を対象にGoogle Playから拡散されていました。11月にはその他のトロイの木馬や不要なソフトウェアも同じくGoogle Play上で発見されています。
11月の主な傾向
- 悪意のあるプログラムや不要なプログラムがGoogle Playから拡散される
11月のモバイル脅威
11月中旬、Doctor Webのエキスパートは欧州で複数の金融機関の利用者を攻撃していたバンキング型トロイの木馬 Android.Banker.2876 を発見しました。このトロイの木馬は機密情報を盗むほか、SMSを横取りしたり送信したりします。
Android.Banker.2876 には以下のような特徴があります。
- Google Play経由で拡散される
- スペイン、フランス、ドイツの金融機関のバンキングアプリケーションを模倣する
- ホーム画面のアプリ一覧から自身のアイコンを隠す
- ゲームが組み込まれており、ユーザーがウィンドウを閉じるとそのゲームが起動する
このトロイの木馬に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.Mobifun.4
- さまざまなアプリケーションをダウンロードするトロイの木馬です。
- Android.HiddenAds.288.origin
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.DownLoader.573.origin
- 別のマルウェアアプリケーションをダウンロードするトロイの木馬です。
- Android.RemoteCode.183.origin
- 任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。
- Adware.Zeus.1
- Adware.Adpush.2514
- Adware.Patacore.1.origin
- Adware.Avazu.5.origin
- Adware.Gexin.2.origin
- Androidアプリケーションに組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示するよう設計されています。
Google Play上の脅威
11月初旬、Doctor Webのウイルスアナリストは不要なアドウェア Adware.HiddenAds.7.origin と Adware.HiddenAds.8.origin を含んだアプリケーションをGoogle Play上で発見しました。このモジュールは、それが組み込まれたプログラムが使用されていない時でも独立して広告を表示させます。
11月後半、Doctor Webのエキスパートは Android.FakeApp トロイの木馬ファミリーに属するまた別の亜種をGoogle Play上で発見し、それらは Android.FakeApp.138、 Android.FakeApp.139、 Android.FakeApp.144 としてDr.Webのウイルスデータベースに追加されました。これらトロイの木馬はアプリケーションに潜み、調査に参加することで報酬を得ることができるとしてユーザーを騙します。起動されると詐欺サイトを開き、いくつかの質問に回答するようユーザーに促します。その後、ユーザーは「報酬」を受け取るために電信送金、通貨換算、または犯罪者によって指定されたその他の方法で手数料を支払うよう要求されます。ユーザーが支払いに同意すると指定された金額がサイバー犯罪者に振り込まれます。もちろん、ユーザーが報酬を受け取ることはありません。
そのほか、ダウンローダ型トロイの木馬 Android.DownLoader.832.origin がさまざまなユーティリティを装って拡散されました。このトロイの木馬は別の悪意のあるアプリケーションをダウンロードし、それらをインストールしようと試みます。
Google Playは依然として最も安全なAndroidアプリの提供元ではありますが、サイバー犯罪者によるGoogle Playからの悪意のあるソフトウェアの拡散は後を絶ちません。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
11.27 欧州のAndroidユーザーを攻撃するバンキング型トロイの木馬
2018年11月27日
株式会社Doctor Web Pacific
Android.Banker.2876 と名付けられたこのトロイの木馬は、スペインのバンキア、ビルバオ・ビスカヤ・アルヘンタリア銀行(BBVA)、サンタンデール銀行、フランスのクレディ・アグリコル、グループバンク・ポピュレール、ドイツのポストバンクといった欧州の金融機関の公式アプリケーションを装って拡散されていました。合計で Android.Banker.2876 の6つの亜種がDoctor Webのエキスパートによって発見されています。これらはすべて、Doctor Webから連絡を受けたGoogle社によってGoogle Play上から直ちに削除されました。
ユーザーによって起動されると、 Android.Banker.2876 は電話を管理・発信する権限とSMSを受送信する権限を要求します。バージョン6.0以前のAndroidデバイスでは、トロイの木馬のインストール中にこれらの権限が自動的に与えられます。以下の画像は権限を要求するメッセージの例です。
Android.Banker.2876 は機密情報(モバイルデバイスの電話番号とカードのデータ、モバイルデバイスの仕様)を収集して Firebase クラウドに送信し、デバイスが感染したことを犯罪者に通知します。次に、トロイの木馬はプログラムを使用するために電話番号を入力するよう被害者に促すダイアログを表示させます。このバンキング型トロイの木馬のそれぞれの亜種は特定のユーザーに合わせて設計されています。例えば、スペインの銀行のアプリケーションを装ったバンキング型トロイの木馬では、そのインターフェイスと表示されるテキストがスペイン語になっています。
被害者が入力した電話番号はクラウドデータベースに転送されます。ユーザーには「登録」確認を待つように指示する第2のダイアログが表示されます。ダイアログには「送信」ボタンがあり、このボタンを押すと Android.Banker.2876 に組み込まれたゲームが起動し、ユーザーを驚かせます。
モバイルデバイスに関する情報のクラウドへのアップロードに成功した場合、トロイの木馬はホームスクリーンから自身のアイコンを隠し、感染したスマートフォンやタブレットがオンになる度に自動的にバックグラウンドで動作します。
Android.Banker.2876 は受信するSMSをすべて横取りし、その内容をローカルデータベースに保存します。メッセージのテキストはFirebaseにアップロードされると同時に、SMS経由でサイバー犯罪者のモバイル番号にも送信されます。その結果、犯罪者は銀行取引を確定するためのワンタイムパスワードやフィッシング攻撃に使用することのできるその他の機密情報を入手することが可能になります。また、トロイの木馬によって収集された電話番号はマルウェアの開発者が詐欺活動を計画する際に使用される可能性があります。
Android.Banker.2876 の既知のすべての亜種はDr.Web for Androidによって検出・駆除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
#Android #Google_Play #banking_Trojan #phishing #fraud
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
11.02 2018年10月のモバイルマルウェアレビュー
2018年11月2日
株式会社Doctor Web Pacific
10月、情報セキュリティスペシャリストは、悪意のあるモジュールをダウンロードして起動するだけでなく、リモートサーバーから送信されたC#スクリプトを実行することもできるAndroidトロイの木馬を発見しました。また、Google Play上でも悪意のあるアプリケーションが検出されています。
10月の主な傾向
- Google Play上で悪意のあるプログラムを検出
- 犯罪者からC#コードを受け取ってコンパイルし、それをモバイルデバイス上で実行するAndroidトロイの木馬を検出
10月のモバイル脅威
Doctor Webのスペシャリストは、ダウンローダ型トロイの木馬 Android.DownLoader.818.origin の組み込まれたアプリケーションがVPNクライアントを装ってGoogle Playから拡散されていることを発見しました。このマルウェアはアドウェア型トロイの木馬をダウンロードし、それをモバイルデバイス上にインストールしようと試みます。その後、このダウンローダの新たな亜種 Android.DownLoader.819.origin および Android.DownLoader.828.origin がマルウェアアナリストによって発見されました。これらトロイの木馬はゲームを装って拡散され、次のような機能を備えています。
- システムから削除されるのを防ぐため、管理者権限を要求する。
- OSのメイン画面にあるプログラムのリストから自身のアプリアイコンを隠す。
- システムソフトウェアを装った別のトロイの木馬をダウンロードし、それらをインストールするようユーザーに促す。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- Android.Backdoor.1521
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds.261.origin
- Android.HiddenAds.288.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.DownLoader.573.origin
- 別のマルウェアアプリケーションをダウンロードするトロイの木馬です。
- Adware.Zeus.1
- Adware.Gexin.2.origin
- Adware.Adpush.2514
- Adware.SalmonAds.3.origin
- Adware.Aesads.1.origin
- Androidアプリケーションに組み込まれ、モバイルデバイス上に迷惑な広告を表示するように設計された不要なプログラムモジュールです。
Google Play上のトロイの木馬
10月の初め、Doctor WebのエキスパートはGoogle Play上で Android.FakeApp.125 を検出しました。このトロイの木馬は簡単な質問に回答するだけで報酬を貰えるというプログラムを装っていました。実際には、 Android.FakeApp.125 は管理サーバーからのコマンドに応じて詐欺サイトを読み込み、表示させます。
続けて、セキュリティリサーチャーはVKontakte内で人気のCloverゲームを装って拡散されていた Android.Click.245.origin を発見しました。 Android.FakeApp.125 同様、 Android.Click.245.origin は詐欺サイトを読み込み、それらをユーザーに対して表示させます。
10月下旬、Doctor Webのアナリストは Android.RemoteCode.192.origin および Android.RemoteCode.193.origin について調査を行いました。これらのマルウェアは一見無害な18のプログラム(バーコードスキャナー、ナビゲーションソフトウェア、ファイルダウンロードマネージャ、様々なゲームなど)に潜み、160万台を超えるAndroidモバイルデバイス上にインストールされています。これらトロイの木馬は悪意のあるモジュールをダウンロードして起動しますが、そのほかにYouTube動画を開いて再生回数を増やし、動画の人気を高めることができます。
また、Dr.Webウイルスデータベースには新たなマルウェア Android.DownLoader.3897、 Android.DownLoader.826.origin、 Android.BankBot.484.originが追加されています。これらのマルウェアはバンキング型トロイの木馬をダウンロードしてモバイルデバイス上にインストールしようとします。
その他の脅威
10月に検出されたその他のモバイルマルウェアに、モジュール構造を持つAndroidバンカー Android.BankBot.1781 があります。このマルウェアは管理サーバーのコマンドに従って様々なトロイの木馬プラグインをダウンロードするほか、C#スクリプトをダウンロードして実行することができます。 Android.BankBot.1781 はクレジットカードの情報やSMSメッセージ、その他の機密情報を盗みます。
サイバー犯罪者はGoogle Playや詐欺サイト、ハッキングしたサイトからAndroidモバイルデバイス向けの悪意のあるプログラムを拡散しています。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
10.26 Doctor Web、Google Playから拡散されるダウンローダ型トロイの木馬を 51,000人以上のユーザーがインストールしていることを確認
2018年10月26日
株式会社Doctor Web Pacific
Android.DownLoader.819.origin は他の悪意のあるアプリケーションをAndroidデバイス上にインストールして起動させるダウンローダです。開発者Quoacによってゲームを装って拡散されています。 Android.DownLoader.819.origin の14のコピーが少なくとも51,100人のAndroidモバイルデバイスユーザーによってインストールされているということが、Doctor Webのエキスパートによって明らかになっています。Doctor Webは特定されたソフトウェアに関するデータをGoogle社に送り、本記事掲載時点で、該当するソフトウェアはGoogle Playから削除されています。
以下の表は検出された悪意のあるアプリケーションに関する情報です。
| アプリ名 | ソフトウェアパッケージ名 | バージョン |
|---|---|---|
| Extreme SUV 4x4 Driving Simulator | com.quoac.extreme.suv.driving | 0.3 |
| Moto Extreme Racer 3D | com.quoac.moto.extreme.racing | 0.3 |
| SUV City Traffic Racer | com.suv.traffic.racer | 0.3 |
| Sports Car Racing | com.quoac.sports.car.racing | 0.3 |
| Crime Traffic Racer | com.quoac.crime.traffic.game | 0.3 |
| Police Car Traffic | com.quoac.police.car.traffic | 0.3 |
| Tank Traffic Racer | com.quoac.tank.traffic.racer | 0.3 |
| Extreme Car Driving Simulator | com.quoac.extreme.car.driving.simulator | 0.3 |
| Russian Cars Retro | com.quoac.russian.car.retro | 0.3 |
| Motocross Beach Jumping - Bike Stund Racing | com.quoac.motocross.beach.jumping | 0.4 |
| Luxury Supercar Simulator | com.quoac.luxury.supercar.simulator | 0.3 |
| Crime Crazy Security | com.quoac.crime.crazy.security | 0.4 |
| Furious Extreme Drift | com.quoac.furious.extreme.drift | 0.3 |
| Drift Car Driving Simulator | com.quoac.car.driving.simulator | 0.5 |
Android.DownLoader.819.origin は Android.DownLoader.818.origin の亜種で、同じ機能を備えています。起動されると、SDカードへの読み書きアクセスを要求し、モバイルデバイス管理者として設定するようユーザーに促します。アクセスを取得すると、自身のアイコンをメインメニューから削除し、デバイス上で存在を隠します。その後、ユーザーは「ゲーム」を起動することはできず、悪意のあるアプリケーションはシステム設定のインストールされたプログラムのリスト内でしか見つかりません。
必要な権限が与えられると、このトロイの木馬はリモートサーバーに接続し、APKファイルをバックグラウンドでダウンロードします。次に、それをインストールするようユーザーに要求しします。ユーザーが拒否した場合は、インストールに同意するまで20秒ごとに同じダイアログを表示させます。トロイの木馬によってダウンロード・インストールされるファイルは、感染したスマートフォンやタブレットの画面がオンになる度に広告を表示させる Android.HiddenAds.728 というマルウェアです。
ダウンローダ型トロイの木馬 Android.DownLoader.819.origin のすべての既知の亜種と、それらによってダウンロードされるマルウェアはAndroid向けのDr.Web製品によって検出・駆除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
10.25 Doctor Web、Android用VPNクライアントに潜むダウンローダ型トロイの木馬 を検出
2018年10月25日
株式会社Doctor Web Pacific
Android.DownLoader.818.origin と呼ばれるこのトロイの木馬は、11,000人を超えるAndroidモバイルデバイスユーザーにダウンロードされている無制限・無料のVPN&プロキシであるTurbo VPNに組み込まれていました。悪意のあるアプリケーションの名前はInnovative Connectingによる人気のVPNクライアント『Turbo VPN』(無制限・無料のVPN&高速・セキュリティの高いVPN)と極めてよく似ていますが、本物とは何の関係もありません。トロイの木馬作成者は Android.DownLoader.818.origin をよく知られたVPNソフトウェアに似せることで被害者を騙し、ダウンロード数を増やそうと目論んでいます。
起動されると、 Android.DownLoader.818.origin は読み込みおよび書き込み権限を要求し、モバイルデバイス上での管理者権限を与えるようユーザーに促します。
攻撃者はトロイの木馬の作成時にオープンソースプロジェクトであるAndroid用OpenVPNからデータを借りているため、 Android.DownLoader.818.origin は実際にVPNでの動作を可能にします。ただし、このアプリケーションをインストールしたユーザーはそれを使用することができません。必要なシステム権限が与えられた後、 Android.DownLoader.818.origin はメインスクリーン上のプログラムのリストから自身のアイコンを削除し、その後、このトロイの木馬VPNクライアントは起動しなくなります。
ユーザーから自身の存在を隠すと、このマルウェアはリモートサーバーからバックグランドでAPKファイルをダウンロードし、メモリーカード上に保存します。次に、ダウンロードしたアプリケーションをインストールするよう、ユーザーが同意するまでプロンプトを出し続けます。以下の画像は、 Android.DownLoader.818.origin によって表示される、プログラムのインストールを促すダイアログの例です。
Android.DownLoader.818.origin の分析を行った結果、ダウンロードされるファイルは広告を表示させる Android.HiddenAds.710 であるということが明らかになりました。ただし、サーバーの設定や攻撃者の目的によって、 Android.DownLoader.818.origin は他の悪意のあるアプリケーションや不要なアプリケーションをダウンロードし、それらのインストールを試みる可能性があります。
Doctor Webでは、Google Play上で発見された危険なソフトウェアについてGoogle社に報告を行い、当該ソフトウェアは直ちにリストから削除されました。
Android向けDr.Webは上記トロイの木馬をすべて検出・駆除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
#Android, #Google_Play, #malware, #trojan
10.05 2018年9月のモバイルマルウェアレビュー
2018年10月5日
株式会社Doctor Web Pacific
2018年9月、Doctor WebのウイルスアナリストはGoogle Play上で多数のトロイの木馬を発見しました。また、様々なバンキング型トロイの木馬がモバイルデバイスのユーザーを脅かし、サイバースパイ行為を行うよう設計された危険なトロイの木馬が拡散されました。そのほか、既知の商用スパイウェアプログラムの新たなバージョンが検出され、Dr.Webのウイルスデータベースに追加されています。
9月の主な傾向
- Google Play上で悪意のあるプログラムを検出
- 危険なスパイウェア型トロイの木馬の拡散
- サイバースパイ行為を行うよう設計された商用プログラムの新たなバージョンを検出
9月のモバイル脅威
2018年9月、危険なスパイウェア型トロイの木馬 Android.Spy.460.origin がAndroidモバイルデバイスのユーザーを脅かしました。このトロイの木馬がDoctor Webのウイルスアナリストによって最初に発見されたのは2018年6月のことです。このマルウェアはシステムアプリケーションを装って、「Google Carrier Service」などの名前で詐欺サイトから拡散されています。
Android.Spy.460.origin は、感染したスマートフォンやタブレットのSMSのやり取りと位置を追跡し、通話を盗聴し、デバイスの内蔵マイクを使用して周囲の音声を録音し、 連絡先とカレンダーからデータを盗み、Webブラウザの履歴とブックマークをサイバー犯罪者に送信します。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- Android.Backdoor.1572
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Mobifun.4
- 別のマルウェアアプリケーションをダウンロードするトロイの木馬です。
- Adware.Zeus.1
- Adware.Gexin.2.origin
- Adware.Adpush.2514
- Adware.SalmonAds.3.origin
- Adware.Aesads.1.origin
- Androidアプリケーションに組み込まれ、モバイルデバイス上に迷惑な広告を表示するように設計された不要なプログラムモジュールです。
Google Play上の脅威
9月にはGoogle Play上で多くの悪意のあるプログラムが確認され、 Android.Click ファミリーに属するトロイの木馬が再びDoctor Webのスペシャリストによって発見されました。これらトロイの木馬は公式のブックメーカーアプリを装って拡散されていました。すでに知られているトロイの木馬(9月3日の記事参照)のほかに17の新たな亜種がウイルスアナリストによって検出され、合計で62,000人以上のユーザーがこの悪意のあるアプリケーションをインストールしています。
起動されると、これらトロイの木馬はC&Cサーバーからのコマンドで指定されたブックメーカーのWebサイトをユーザーに対して表示させます。ただし、いずれは、ブックメーカー以外の危険なWebサイトを開くよう指示するコマンドを受け取るようになる可能性もあります。
また別のクリッカー型トロイの木馬 Android.Click.265.origin もGoogle Play上に侵入を果たしています(こちらの記事を参照)。このトロイの木馬は有料コンテンツのWebサイトを開き、ユーザーを高額なサービスに登録させます。その際、 Android.Click.265.origin は表示されたウィンドウ内で自動的に確定ボタンをクリックし、有料サービスにアクセスします。9月には、このマルウェアが Sitilink (Eコマース)や O'STIN (衣料品店)などの良く知られたロシア企業のアプリを装って拡散されていました。
そのほか、Android.Click.265.origin と同様の機能を持った Android.Click.223.origin がロシアの衣料品店 Gloria Jeans と TVOE の無害なプログラムを装って拡散されました。
9月には、Google Play上でバンキング型トロイの木馬が再び検出されました。そのうちの2つ、 Android.Banker.2855 と Android.Banker.2856 はサーバーユーティリティや星占いとして拡散されていました。これらの悪意のあるプログラムは、金融機関利用者の口座のログイン認証情報を盗む隠されたバンカーを抽出して起動させます。
Google Play上に侵入を果たしたもう1つのバンキング型トロイの木馬に Android.Banker.283.origin があります。このトロイの木馬はトルコの金融機関の公式アプリとして拡散されていました。
スパイウェア
9月には、商用スパイウェアプログラムの新たなバージョン Program.SpyToMobile.1.origin、 Program.Spy.11、 Program.GpsSpy.9、 Program.StealthGuru.1、 Program.QQPlus.4、 Program.DroidWatcher.1.origin、 Program.NeoSpy.1.origin、 Program.MSpy.7.origin、 Program.Spymaster.2.originなどが検出されました。これらのアプリケーションはAndroidモバイルデバイスのユーザーをスパイするよう設計されており、サイバー犯罪者がSMSのやり取りを横取りし、通話やスマートフォンとタブレットの位置を追跡し、Webブラウザの履歴とブックマークにアクセスし、機密情報を盗むことを可能にします。
サイバー犯罪者はAndroidスマートフォンやタブレットを感染させる新しいトロイの木馬やリスクウェアを次々と作成し、それらアプリケーションの多くがGoogle Play上から拡散され続けています。Androidモバイルデバイスを保護するため、Android向けのDr.Webアンチウイルス製品を使用することをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
09.06 2018年8月のモバイルマルウェアレビュー
2018年9月6日
株式会社Doctor Web Pacific
2018年8月、Doctor Webのスペシャリストは、クリップボード上のe-wallet (イーウォレット)番号を置き換えるAndroid向けトロイの木馬を検出しました。また、Google Play上で多くのトロイの木馬が検出され、サイバー犯罪者は違法な収益を得るためのさまざまな詐欺手法にそれらを使用していました。8月には、Google Play上でAndroid向けのバンキング型トロイの木馬とダウンローダ型トロイの木馬も複数検出されています。最新のものは他の悪意のあるソフトウェアをモバイルデバイスにダウンロードします。そのほか、無害なプログラムに組み込まれ、オリジナルのアプリケーションを装って拡散されていた、スパイ行為を行う危険なトロイの木馬も検出されました。
8月の主な傾向
- クリップボード上のe-wallet番号を置き換えるAndroid向けトロイの木馬を検出
- バンキング型トロイの木馬の拡散
- Google Play上で悪意のあるプログラムを多数検出
- サイバー犯罪者があらゆるアプリケーション内に組み込むことができる、スパイ行為を行う危険なトロイの木馬を検出
8月のモバイル脅威
8月上旬、クリップボードを監視し、そこにコピーされた一般的な決済システムや仮想通貨のe-wallet番号を置き換えるトロイの木馬 Android.Clipper.1.origin が、Doctor Webのセキュリティリサーチャーによって検出されました。攻撃の対象となったのはQiwi、Webmoney、Yandex.Money、Bitcoin、Monero、zCash、DOGE、DASH、Etherium、Blackcoin、Litecoinのe-walletです。ユーザーが番号をクリップボードにコピーすると、トロイの木馬はそれらを傍受してC&Cサーバーに送信します。 Android.Clipper.1.origin は元の番号の代わりにクリップボードに追加するサイバー犯罪者のウォレット番号を受け取ります。その結果、感染したデバイスのユーザーはサイバー犯罪者のウォレット番号に送金してしまう危険性があります。この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、犯罪者が感染したモバイルデバイスをコントロールすることを可能にするトロイの木馬です。
- Android.HiddenAds
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Adware.Zeus.1
- Adware.Adpush.2514
- Adware.SalmonAds.3.origin
- Adware.Jiubang.2
- Adware.Patacore.1.origin
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
Google Play上のトロイの木馬
8月には、Google Play上で多数のトロイの木馬が検出されました。 Doctor Webのセキュリティリサーチャーは、8月を通してトロイの木馬 Android.Click ファミリーのGoogle Playからの拡散状況について監視を行い、ブックメーカーの公式アプリケーションを装って拡散されていた127のアプリケーションを検出しました。
起動されると、これらトロイの木馬はC&Cサーバーによって指定されたWebサイトをユーザーに対して表示させます。 Android.Click が検出された時点で、これらすべてのトロイの木馬がブックメーカーのインターネットポータルを開くようになっていました。ただし、いずれは、別の悪意のあるソフトウェアを拡散するWebサイトやフィッシング攻撃に使用されるWebサイトなど、あらゆる他のWebサイトを開くよう指示するコマンドを受け取るようになる可能性もあります。
Android.Click.265.origin は8月にGoogle Play上で検出されたまた別のクリッカー型トロイの木馬です。このトロイの木馬は有料モバイルサービスにユーザーを登録させるために使用されており、『Eldorado』のオンラインストアで動作するよう設計された公式アプリケーションを装って拡散されていました。
8月には、4月にDoctor Webのセキュリティリサーチャーによって検出された Android.Click.248.origin が、再びGoogle Play上に出現しました。前回同様、 Android.Click.248.origin は良く知られたソフトウェアを装って拡散されていました。このトロイの木馬は、ユーザーに対して様々なプログラムをダウンロードするよう提案するか、または報酬を受け取るよう促すフィッシングサイトの1つを開きます。プログラムをダウンロード、または報酬を受け取るために、ユーザーは確認コードを受け取るための携帯電話番号を入力するよう求められます。コードを入力してしまったユーザーは有料サービスに登録されるようになっています。感染したデバイスがモバイル通信でインターネットに接続されている場合、ユーザーは自動的に有料サービスに登録されます。
この脅威に関する詳細については、こちらの記事をご覧ください。
8月末、Doctor Webのセキュリティリサーチャーは、Google Play上でトロイの木馬 Android.FakeApp.110 を検出しました。サイバー犯罪者は違法な利益を得るためにこのトロイの木馬を使用していました。この悪意のあるプログラムは、ユーザーに対して調査に参加するよう促す詐欺サイトを開きます。質問に回答した後、ユーザーは本人を特定するための証明として100~200ルーブルの支払いを要求されます。しかしながら、支払いを行ったユーザーが報酬を受け取ることはありません。
8月にGoogle play上で検出された悪意のあるプログラムの中に、新たなバンキング型トロイの木馬があります。 Android.Banker.2843 と名付けられたそのうちの1つは、トルコの金融機関の公式アプリケーションを装って拡散されていました。 Android.Banker.2843 は、ユーザーの銀行口座にアクセスするためのログインとパスワードを盗み、サイバー犯罪者に送信します。
Android.Banker.2855 としてDr.Webのウイルスデータベースに追加されたまた別のバンキング型トロイの木馬は、異なるサービスツールとして拡散されていました。この悪意のあるプログラムは、そのファイルリソースからトロイの木馬 Android.Banker.279.origin を抽出して起動させます。このトロイの木馬が銀行のユーザー認証情報を盗みます。
Android.Banker.2855 の一部の亜種は、起動後にメイン画面から自身のショートカットを削除した後で偽のエラーメッセージを表示させ、モバイルデバイス上での存在を隠そうとします。
Android.BankBot.325.origin と名付けられたまた別のAndroid向けバンキング型トロイの木馬は、 Android.DownLoader.772.origin によって感染したデバイス上にダウンロードされていました。このダウンローダは、バッテリーオプティマイザなどの便利なアプリケーションを装ってGoogle Playから拡散されていました。
また、 Android.DownLoader.768.origin もGoogle Play上で検出されています。このダウンローダは、シェル社のアプリケーションを装って拡散されていました。 Android.DownLoader.768.origin は、さまざまなバンキング型トロイの木馬をモバイルデバイスにダウンロードします。
8月には、ダウンローダ型トロイの木馬 Android.DownLoader.784.origin もGoogle Play上で検出され、Dr.Webウイルスデータベースに追加されました。このトロイの木馬は『Zee Player』というアプリケーションに埋め込まれていました。このアプリケーションは、トロイの木馬がモバイルデバイスのメモリ内に保存されている写真や動画を非表示にすることを可能にします。
Android.DownLoader.784.origin は、サイバースパイ行為に使用することのできるAndroid.Spy.409.originをダウンロードします。
Android向けスパイウェア
8月、サイバースパイ用に設計された Android.Spy.490.origin がDr.Webのウイルスデータベースに追加されました。サイバー犯罪者は、このトロイの木馬を無害なアプリケーションに組み込み、それらの改変されたコピーをオリジナルのソフトウェアを装ってユーザーに気付かれることなく配信することができます。 Android.Spy.490.origin は、感染したデバイスのSMS通信と位置を監視し、通話を傍受・録音し、通話の内容に関する情報に加えデバイスのユーザーが撮影した写真や動画をリモートサーバーに送信することができます。
Google Playは最も安全なAndroidアプリの提供元です。しかしながら、サイバー犯罪者は依然としてGoogle Playから様々な有害なプログラムを拡散し続けています。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品を使用することをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
08.09 2018年7月のモバイルマルウェアレビュー
2018年8月9日
株式会社Doctor Web Pacific
2018年7月、Android向けの危険なバックドア Android.Backdoor.554.origin が再び拡散されました。このトロイの木馬はユーザーをスパイし、サイバー犯罪者が感染したスマートフォンやタブレットを遠隔操作することを可能にするもので、2017年4月よりDoctor Webのウイルスアナリストに知られています。 Android.Backdoor.554.origin にはWindows向けのワームが密かに含まれていました。このワームは、モバイルデバイスに接続されたメモリカードにコピーされ、その後Windows搭載コンピューターを感染させます。また、Androidスマートフォンやタブレットのユーザーは7月も引き続きバンキング型トロイの木馬による攻撃を受けました。 Android.Banker.2746 と名付けられた、それらトロイの木馬の1つはGoogle Play上のアプリケーション内で検出されています。他のバンキング型トロイの木馬の多くは、同じくGoogle Playから拡散されている Android.DownLoader.753.origin によってモバイルデバイス上にダウンロードされていました。その他にも、バンキング型トロイの木馬 Android.BankBot.279.origin が検出されています。このトロイの木馬は便利なアプリケーションを装って拡散されていました。さらに、7月には新たな商用スパイウェアプログラム Program.Shadspy.1.origin と Program.AppSpy.1.origin がDoctor Webのウイルスアナリストによって発見されました。
7月の主な傾向
- ユーザーをスパイし、Windows搭載コンピューターを感染させるバックドアの拡散
- Google Play上にマルウェアが登場
- バンキング型トロイの木馬の拡散
7月のモバイル脅威
7月、セキュリティスペシャリストはAndroidスマートフォンとタブレットのユーザーを攻撃する新たなバックドア Android.Backdoor.554.origin を発見しました。このトロイの木馬は、 WhatsApp や Telegram などの良く知られたソフトウェアの新しいバージョン、またはシステムやその他の重要なアップデートを装って拡散されていました。
Android.Backdoor.554.origin はサイバー犯罪者のコマンドを実行し、彼らが感染したモバイルデバイスをコントロールし、そのユーザーをスパイすることを可能にしていました。このトロイの木馬は、Androidスマートフォンやタブレットの位置を追跡し、一般的なメッセージングプログラムでのやり取りを傍受し、通話やSMSにアクセスし、電話帳から連絡先情報を盗み、その他の悪意のある行為を行っていました。また、このバックドアは、そのファイルリソース内に Win32.HLLW.Siggen.10482 と名付けられたWindowsワームを隠し持っていました。モバイルデバイスを感染させた後、 Android.Backdoor.554.origin はワームをメモリカードにコピーし、画像の保存されているカタログに置きます。その際、拡張子".pif"を持った実行ファイル Win32.HLLW.Siggen.10482 には、それが置かれているディレクトリの名前が付きます。ユーザーが画像を見るためにこれらのディレクトリを開いたり、コンピューターにコピーしたりすると、ワームを実行してしまう危険性があります。
以下の画像は、トロイの木馬 Android.Backdoor.554.origin がワーム Win32.HLLW.Siggen.10482 を置いていたディレクトリの一覧です。
次の画像は、感染したAndroidデバイスのメモリカード上の画像のあるディレクトリにワームの実行ファイルがコピーされた例です。
Dr.Web for Androidによる統計
- Android.Altamob.1.origin
- 悪意のあるモジュールを密かにダウンロード・起動させる広告プラットフォームトロイの木馬です。
- Android.HiddenAds.288.origin
- Android.HiddenAds.524
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Mobifun.4
- 別のマルウェアアプリケーションをダウンロードするトロイの木馬です。
- Android.Xiny.197
- 別の悪意のあるアプリケーションを密かにダウンロード・インストールするよう設計されたトロイの木馬です。
- Adware.SalmonAds.3.origin
- Adware.Altamob.1.origin
- Adware.Appalytic.1.origin
- Adware.Adtiming.1.origin
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
バンキング型トロイの木馬
7月、情報セキュリティのスペシャリストはGoogle Play上でトロイの木馬を検出しました。Doctor Webの分類に従って Android.DownLoader.753.origin と名付けられたこの悪意のあるプログラムは、金融アプリケーションを装って拡散されていました。一部の亜種は謳われている機能を実際に実行しますが、残りの亜種はそれらの機能を持たず、本物のバンキングソフトウェアをPlay Storeのページでダウンロードしてインストールするよう提案します。
Android.DownLoader.753.origin は、 Android.BankBot ファミリーに属するバンキング型トロイの木馬の1つをリモートサーバーから密かにダウンロードし、それをインストールさせるために標準的なインストールウィザードを表示させます。
7月中旬、Doctor Webのエキスパートは、Android向けバンキング型トロイの木馬 Android.Banker.2746 について調査を行いました。このトロイの木馬は公式のバンキングアプリケーションを装ってGoogle Playから拡散されていました。
犯罪者は、トルコの金融機関の顧客口座にアクセスするためにこのトロイの木馬を使用していました。 Android.Banker.2746 は偽のログインとパスワードの入力ボックスを表示させ、ワンタイム認証コードを含んだSMSを横取りします。
7月にユーザーを攻撃していたバンキング型トロイの木馬の1つ Android.BankBot.279.origin は、不正なWebサイトを使用して拡散されていました。ユーザーがモバイルデバイスでそのサイトにアクセスすると、Adobe Flash Player、オンライン通信プログラム、VPNクライアント、その他のソフトウェアなどの無害で便利なプログラムを装って、トロイの木馬がダウンロードされます。 Android.BankBot.279.origin は、スマートフォンやタブレットにインストールされたバンキングアプリケーションの起動をトラッキングし、それらのウィンドウの前面にユーザーのアカウントにアクセスするための偽のログイン認証フォームを表示させます。また、画面ロック解除のPINコードを変更し、感染したデバイスをブロックすることができます。
以下の画像は、そこから Android.BankBot.279.origin がモバイルデバイスやタブレットにダウンロードされたWebサイトの例です。
スパイウェア
7月には、新たな複数の商用スパイウェアがDoctor Webのスペシャリストによって発見されました。 Program.AppSpy.1.origin と名付けられたそのうちの1つは感染したデバイスの位置を追跡し、通話を盗聴してSMSメッセージを横取りします。サイバースパイ行為を行うもう1つのプログラムは Program.Shadspy.1.origin としてDr.Webのウイルスデータベースに追加されました。幅広い機能を備えたこのアプリケーションは、SMSのやり取りや通話、デバイスの位置をモニタリングし、内蔵マイクを使用して周囲の音声を録音し、Webブラウザから履歴を、また、ユーザーのカレンダーからイベントのスケジュールコピーし、 スマートフォンやタブレットのカメラを使用してスナップショットを撮り、さらにその他多くの操作を行うことができます。また、ルート権限では、 Facebook や WhatsApp アプリケーションでのやり取りを傍受することができます。
バンキング型トロイの木馬は、モバイルデバイスユーザーにとって深刻な脅威となっています。サイバー犯罪者は、不正なサイトのみでなく公式のGoogle Playストアからもこれらの悪意のあるプログラムを拡散し続けています。バンキング型トロイの木馬や、その他のAndroidトロイの木馬からお使いのデバイスを保護するため、Android向けのDr.Webアンチウイルス製品を使用することをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
07.09 2018年6月のモバイルマルウェア
2018年7月9日
株式会社Doctor Web Pacific
2018年6月、Doctor Webのウイルスアナリストは不要な広告モジュール Adware.Appalytic.1.origin を含んだ30を超えるアプリケーションをGoogle Play上で検出しました。この Adware.Appalytic.1.origin は別のソフトウェアをダウンロードするよう促す通知を表示させ、広告されているプログラムのページを開きます。また、サイバー犯罪者のコマンドに従って様々なWebページを読み込むトロイの木馬ファミリー Android.FakeApp の新たな亜種も複数発見されています。そのほか、6月には Android スマートフォンやタブレットのユーザーをスパイする Android.Spy.461.origin がエロティックなゲームを装って拡散され、高額な番号に有料SMSメッセージを送信する Android.SmsSend.1989.origin がモバイルデバイスユーザーを脅かしました。
6月の主な傾向
- 不要な埋め込み広告モジュールを含むさらに多くのアプリケーションをGoogle Play上で検出
- 危険なスパイウェアの拡散
6月のモバイル脅威
6月の初め、Doctor Webのスペシャリストは不要な広告モジュール Adware.Appalytic.1.origin を含んだ37の新たなアプリケーションをGoogle Play上で検出しました。 Adware.Appalytic.1.origin は様々なアプリケーションやゲームをダウンロード・インストールするよう要求するほか、広告されているプログラムのページをGoogle Play上で開くことができます。
以下の画像は、広告されているGoogle Playアプリケーションの例です。
次の画像は、モジュールによって表示される通知の例です。
Adware.Appalytic.1.origin の特徴:
- Google Playから拡散される無害なアプリケーションに埋め込まれています。
- Firebaseクラウドサービス経由でコマンドを受け取ります。
- 独自にGoogle Playを開き、広告されているアプリケーションのページを読み込みます。
- 様々なプログラムのダウンロード・インストールを勧める迷惑なメッセージを通知パネルに表示させます。
Dr.Web for Androidによる統計
- Android.Mobifun.4
- 別のAndroidアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.HiddenAds.280.origin
- Android.HiddenAds.288.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.SmsSend.1338.origin
- 有料番号に対してSMSメッセージを送信する悪意のあるプログラムです。
- Android.DownLoader.573.origin
- 別のマルウェアをダウンロードするよう設計されたトロイの木馬です。
- Adware.SalmonAds.3.origin
- Adware.Jiubang.2
- Adware.Appalytic.1.origin
- Androidアプリケーション内に埋め込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
- Tool.SilentInstaller.1.origin
- ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。
Google Play上のトロイの木馬
6月下旬、トロイの木馬ファミリー Android.FakeApp の新たな亜種が複数、Doctor Webのスペシャリストによって検出されました。これまで同様、これらの悪意のあるプログラムは便利なアプリケーション、とりわけVKソーシャルネットワークで音楽を聴くためのメディアプレイヤーを装って拡散されていました。 Android.FakeApp.89、 Android.FakeApp.90、 Android.FakeApp.91、 Android.FakeApp.92 としてDr.Webのウイルスデータベースに追加されたトロイの木馬は、サイバー犯罪者のコマンドに従って指定されたリンクを辿り、不正なインターネットリソースを含む様々なWebサイトを読み込みます。
次のスクリーンショットは、Google Play上で検出された Android.FakeApp トロイの木馬のダウンロードページです。
Androidスパイウェア
6月、エロティックなゲームを装ったトロイの木馬型スパイウェアが Android スマートフォンやタブレットのユーザーを脅かしました。 Android.Spy.461.origin と名付けられたこのマルウェアはSMSメッセージや電話帳の連絡先を盗み、モバイルデバイスのマイクを使用して周囲の音声を録音し、スマートフォンやタブレット上に保存されたファイルのリストを受け取り、それらをサイバー犯罪者のサーバーにロードします。また、クリップボードからデータを盗むことができます。
SMSトロイの木馬
6月にはSMSトロイの木馬 Android.SmsSend.1989.origin が拡散されました。このトロイの木馬は有料番号に対してメッセージを送信し、ユーザーを高額なサービスに登録させます。人気のゲーム『Fortnite』を装ったアプリに潜んでいましたが、このゲームの Android 向けの正式版はまだ提供されていません。
サイバー犯罪者は引き続き Android モバイルデバイスに対する攻撃の手を緩めることなく、様々なサイトのみでなく公式のGoogle Playストアからも悪意のあるアプリケーションや不要なアプリケーションを拡散させています。お使いのモバイルデバイスを保護するため、 Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
05.31 2018年5月のモバイルマルウェア
2018年5月31日
株式会社Doctor Web Pacific
2018年5月、Doctor Webのスペシャリストはトロイの木馬 Android.Click.248.origin を含んだGoogle Playアプリケーションを複数発見しました。このトロイの木馬は偽のWebサイトを読み込み、そこでユーザーを高額なモバイルサービスに登録させます。また、人気のソフトウェアプログラムを装って拡散されていた悪意のあるプログラム Android.FakeApp もGoogle Play上で検出されています。この悪意のあるプログラムはサイバー犯罪者の指示に従ってリンクを辿り、Webサイトへのトラフィックを増加させます。そのほかGoogle Play上で発見された脅威に、 Android.HiddenAds ファミリーに属するトロイの木馬があります。これらトロイの木馬は広告を表示するよう設計されています。さらに5月には、サイバースパイ行為に使用されていたトロイの木馬 Android.Spy.456.origin と Android.Spy.457.origin も発見されています。5月下旬には、新たな商用スパイウェアプログラム Program.OneSpy のシグネチャがDr.Webウイルスデータベースに追加されました。
5月の主な傾向
- Google Play上でさらに多くのトロイの木馬を検出
- Androidスパイウェアの新たなバージョンを発見
5月のモバイル脅威
5月、Doctor WebのスペシャリストはGoogle Play上でトロイの木馬 Android.Click.248.origin を検出しました。このトロイの木馬はSkypeやAlisa(実際には個別のアプリとしては提供されていないYandex音声アシスタント)などの人気のプログラムを装って拡散されていました。
このトロイの木馬は偽のWebサイトを読み込み、そこでユーザーを騙して有料コンテンツサービスに登録させます。この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.HiddenAds.210.origin
- Android.HiddenAds.222.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.SmsSend.1338.origin
- 有料番号に対してSMSメッセージを送信する悪意のあるプログラムです。
- Android.Mobifun.4
- 別のAndroidアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.Xiny.1403
- 別の悪意のあるアプリケーションを密かにダウンロード・インストールするよう設計されたトロイの木馬です。
- Adware.Adtiming.1.origin
- Adware.Jiubang.2
- Adware.Adpush.601
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
- Tool.SilentInstaller.1.origin
- Tool.SilentInstaller.6.origin
- ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。
GOOGLE PLAY上の脅威
5月、Doctor Webのスペシャリストは人気のアプリケーションを装って拡散されていた Android.FakeApp をGoogle Play上で発見しました。 Android.FakeApp はサイバー犯罪者のコマンドに従って、指定されたリンクをクリックしてWebサイトを読み込むことでそこへのアクセス数を増加させます
このトロイの木馬は次のような特徴を持っています。
- シンプルなAndroidプログラムを簡単な手順で作成することを可能にするAppsGeyserサービスを使用して作成されています。
- 人気のアプリケーションを装って拡散されています。
- 便利な機能は一切含まれていません。
- トロイの木馬をGoogle Play上で配信していた7名の開発者が明らかになっています。
以下は、Google Play上で発見された偽のアプリケーションの例です。
また、5月には Android.HiddenAds.267.origin や Android.HiddenAds.277.origin など、トロイの木馬ファミリー Android.HiddenAds の新たな亜種が発見されました。これらの悪意のあるプログラムは、人気のある無害なアプリケーションを装って拡散されていました。このトロイの木馬の主な機能は広告を表示させるというものです。
サイバースパイ
5月には、サイバー犯罪者がサイバースパイ行為に使用していた新たなAndroidトロイの木馬が複数、セキュリティリサーチャーによって発見されました。そのうちの1つはGoogle Playから拡散されており、 Android.Spy.456.origin と名付けられました。この悪意のあるプログラムは、感染したデバイスの連絡先リストから写真やSMSメッセージ、連絡先を盗み、それらをサイバー犯罪者の所有するリモートサーバーにロードします。5月に発見されたまた別のスパイウェアは Android.Spy.457.origin としてDr.Webのウイルスデータベースに追加されました。このスパイウェアはAndroidスマートフォンやタブレットのメモリ内に保存された画像や動画を盗み、モバイルデバイスの位置情報を追跡し、SMSメッセージを盗み、周囲の音声を盗聴し、通話を録音することができます。
5月下旬、Doctor Webのスペシャリストは商用スパイウェアプログラムOnespyの新たなバージョンを発見し、このプログラムは Program.Onespy.3.origin と名付けられました。 Program.Onespy.3.origin はSMSメッセージや通話を横取りし、感染したデバイスの位置を追跡し、周囲の音声を盗聴し、写真、動画、文書ならびにその他のファイルを盗み、 Skype、 Viber、 WhatsApp、 Line、 Facebookなどの一般的なメッセンジャーでのやり取りを追跡するほか、それ以外の悪意のある動作を実行することもできます。
Google社による取り組みの甲斐なく、Google Playからは依然としてAndroid向けトロイの木馬が拡散され続けています。また、モバイルデバイスを標的とする悪意のあるプログラムや潜在的に危険なプログラムはGoogle Play以外の場所にも潜んでいます。お使いのスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
04.28 2018年4月のモバイルマルウェア
2018年4月28日
株式会社Doctor Web Pacific
2018年4月、Doctor Webは危険なバンキング型トロイの木馬 Android.BankBot.358.origin が拡散されていることを発見しました。このトロイの木馬はロシアのユーザーの6万台を超えるモバイルデバイスを感染させていました。また、4月には、多数の Android.Click トロイの木馬がGoogle Play経由で拡散されました。Google Play上では、 Android.RemoteCode.152.origin も検出されています。このトロイの木馬は悪意のあるモジュールをダウンロードし、それらを使用して広告バナーを作成してそれらをタップすることで、サイバー犯罪者に収益をもたらします。そのほか、リスクウェア Program.PWS.2 もまたGoogle Play上で発見されました。このリスクウェアはロシアでブロックされている Telegram へのアクセスを提供するものですが、求められる機密データの保護に対応していませんでした。また、4月には、 Android.Hidden.5078、 Android.Spy.443.origin、 Android.Spy.444.originなどのスパイウェアも発見されています。
4月の主な傾向
- ロシアのAndroidモバイルデバイスユーザーの間でバンキング型トロイの木馬の大拡散が発生
- Google Play上で悪意のあるプログラムやリスクウェアを発見
- Android向けの新たなスパイウェア型トロイの木馬を発見
4月のモバイル脅威
4月、Doctor Webは6万台を超えるAndroidスマートフォンやタブレットを感染させたバンキング型トロイの木馬 Android.BankBot.358.origin の拡散について報告しました。デバイスのほとんどはロシアのユーザーのもので、 Android.BankBot.358.origin の主な標的は大手銀行の顧客でした。
このトロイの木馬は、広告やローン、送金に関する情報を読むためにリンクを辿るようユーザーを誘導する様々な偽のSMSメッセージによって拡散されていました。リンクをタップしてしまったユーザーはサイバー犯罪者のWebサイトに飛ばされ、そこからモバイルデバイス上にバンキング型トロイの木馬がダウンロードされます。
口座から金銭を盗むために、このトロイの木馬はSMSコマンドを使用してモバイルバンキングを操作します。したがって、大手銀行のサービスにアクセスするための正規アプリケーションがデバイスにインストールされていない場合であっても、デバイスが感染すればユーザーは金銭を失ってしまう可能性があります。感染したデバイスの銀行口座から盗まれる可能性のある金銭の総額は7,800万ルーブルを超えます。この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Mobifun.4
- 別のAndroidアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.HiddenAds.248.origin
- Android.HiddenAds.253
- Android.HiddenAds.210.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Packed.15893
- プログラムパッカーで保護されたAndroidトロイの木馬です。
- Adware.Adtiming.1.origin
- Adware.Adpush.601
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
- Tool.SilentInstaller.1.origin
- Tool.SilentInstaller.6.origin
- ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。
GOOGLE PLAY上の脅威
4月、Doctor WebのスペシャリストはGoogle Play上で新たな悪意のあるプログラムを多数発見しました。それらの中には、 Android.Click ファミリーに属する様々なトロイの木馬が含まれていました。例として、4月の中旬には Android.Click.245.origin のシグネチャがDr.Webウイルスデータベースに追加されています。サイバー犯罪者は開発者 Roman Zencovおよび Sneilを名乗り、人気のアプリケーションを装って Android.Click.245.origin を拡散させていました。
起動されると、このトロイの木馬はサイバー犯罪者によって指定されたWebサイトをダウンロードしますが、それらのサイトはユーザーを騙して高額なコンテンツサービスに登録させるためのものです。感染させたデバイスがモバイル通信経由でインターネットに接続している場合、それらWebサイト上のボタンをいくつかタップすることで自動的に登録が行われます。この脅威に関する詳細については、こちらの記事をご覧ください。
その後、同様の悪意のあるプログラムがGoogle Play上で発見され、 Android.Click.246.origin および Android.Click.458 としてDr.Webのウイルスデータベースに追加されました。開発者 mendozapps を装って悪意のある約40のアプリケーションをGoogle Playから配信するなど、サイバー犯罪者はこれらのプログラムも Android.Click.245.origin と同じく無害なプログラムとして拡散していました。
開発者 Trinh Repasi および Vashashlaba は、同様のトロイの木馬 Android.Click.248.origin をアプリケーションViberやAvitoとして拡散させていました。この悪意のあるプログラムは Kotlin で書かれており、感染させたデバイスのIPアドレスをチェックし、ユーザーの所在地に応じて特定のWebを読み込むよう指示を受け取ります。サイバー犯罪者は Firebase クラウドサービスを介して Android.Click.248.origin を管理しています。
4月の下旬、Doctor WebのウイルスアナリストはGoogle Play上で Android.RemoteCode.152.origin を発見しました。このトロイの木馬は無害なプログラム内に隠されていました。この悪意のあるプログラムは見えない広告バナーを作成するための追加のモジュールを密かにダウンロードし、起動させます。 Android.RemoteCode.152.origin は、それらのバナーを自動的にタップすることで、ウイルス作成者に収益をもたらします。この脅威に関する詳細については、こちらの記事をご覧ください。
4月には、リスクウェア Program.PWS.2 もGoogle Play上で検出されています。このアプリケーションはロシアでブロックされているTelegramへのアクセスを可能にするものです。
このアプリケーションはアノニマイザー経由で動作しますが、ログイン認証情報やその他の機密情報を暗号化せずに送信します。そのため、ユーザーのあらゆる個人情報が危険にさらされます。Doctor Webでは、同様の危険なプログラムについて2017年6月に記事を発表しています。
以下の画像は Program.PWS.2 のアイコンと、動作中のインターフェースです。
スパイウェア
4月には、新たなスパイウェアが検出されました。スパイ行為を行うこれらのトロイの木馬はAndroidスマートフォンやタブレットのユーザーの個人情報を盗んでいました。 Android.Hidden.5078 としてDr.Webのウイルスデータベースに追加された、それらプログラムの1つは、 Viber、 Facebook Messenger、 WhatsApp、 WeChat、 Telegram、 Skype、 Weibo、 Twitter、 Lineなどの人気のあるメッセンジャーから、やり取りを盗みます。アンチウイルスによる検出を回避し、解析を困難にするため、このトロイの木馬はコード難読化とアンチデバッグを使用して作成されています。
4月に検出された、その他のAndroidスパイウェアに Android.Spy.443.origin と Android.Spy.444.origin があります。 Android.DownLoader.3557 としてDr.Webのウイルスデータベースに追加されたトロイの木馬が、それらをモバイルデバイス上にダウンロード・インストールします。このダウンローダは Dardesh と呼ばれるオンラインメッセンジャーとしてGoogle Playから拡散されていました。
起動されると、 Android.DownLoader.3557 はプログラムの動作に必要とされるコンポーネントをインストールするようユーザーに促しますが、実際はそのコンポーネントがスパイ行為を行うトロイの木馬の1つです。
インストールされて起動されると、 Android.Spy.443.origin と Android.Spy.444.origin はモバイルデバイスユーザーの操作をトラッキングし始めます。感染したスマートフォンやタブレットの所在地を追跡し、利用可能なすべてのファイルに関する情報を取得し、サイバー犯罪者にユーザーのドキュメントを送信し、SMSメッセージを送信または盗み、デバイスのマイクを使用して周囲の音を録音し、動画を撮り、通話を傍受し、連絡先リストからデータを盗み、さらにその他の動作も実行します。
サイバー犯罪者は、不正なサイトのみでなくGoogle Playからも引き続き積極的にAndroid向けトロイの木馬を拡散し続けています。悪意のあるアプリケーションや不要なアプリケーションからモバイルデバイスを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
04.26 Doctor Web : 見えない広告を使用してウイルス作成者に収益をもたらす、Google Play上のAndroidトロイの木馬
2018年4月26日
株式会社Doctor Web Pacific
Android.RemoteCode.152.origin は、2017年より知られているトロイの木馬 Android.RemoteCode.106.origin の新しいバージョンです。Doctor Webでは Android.RemoteCode.106.origin について11月に記事を発表しています。この悪意のあるプログラムはソフトウェアモジュールであり、ソフトウェア開発者が自分たちのアプリケーション内に埋め込んでGoogle Play経由で拡散していました。 Android.RemoteCode.106.origin の主な機能は、広告Webページをダウンロードしてそこにあるバナーをクリックするよう設計されている、補助プラグインを密かにダウンロード・起動することです。 Android.RemoteCode.106.origin の新しいバージョンも同様の動作を行います。
トロイの木馬が埋め込まれたアプリケーションが初めて起動された後、 Android.RemoteCode.152.origin は一定の間隔で自動的に動作を開始し、デバイスの再起動後に自動的に起動します。したがって、 Android.RemoteCode.152.origin が動作するために、モバイルデバイスのユーザーが感染したアプリケーションを絶えず使用する必要はありません。
この悪意のあるプログラムは起動時に管理サーバーからトロイの木馬のモジュールの1つ (Android.Click.249.origin としてDr. Webのウイルスデータベースに追加されています) をダウンロードし、起動させます。このコンポーネントは、アプリケーションを収益化するよう設計された MobFox SDK広告プラットフォームをベースにした、また別のモジュールをダウンロードして起動させます。これを使用して、トロイの木馬は様々な広告やバナーを密かに作成し、それらをクリックすることでウイルス作成者に収益をもたらします。また、 Android.RemoteCode.152.origin はモバイルマーケティングプラットフォーム AppLovin に接続し、さらなる収益を得るために同じく広告をダウンロードします。
Doctor Webのウイルスアナリストによって、このトロイの木馬の埋め込まれたアプリケーションが複数、Google Play上で発見されています。それらはすべてゲームアプリで、ダウンロード数は合計で650万件を超えています。Doctor Webは発見したプログラムについてGoogle社に報告を行い、本記事掲載時点でいくつかのアプリケーションがGoogle Playから削除されています。また、一部のアプリケーションでは、悪意のあるモジュールの削除されたアップデートがリリースされています。
Android.RemoteCode.152.origin は、次のプログラムで発見されています。
- Beauty Salon - Dress Up Game、バージョン5.0.8
- Fashion Story - Dress Up Game、バージョン5.0.0
- Princess Salon - Dress Up Sophie、バージョン5.0.1
- Horror game - Scary movie quest、バージョン1.9
- Escape from the terrible dead、バージョン1.9.15
- Home Rat simulator、バージョン2.0.5
- Street Fashion Girls - Dress Up Game、バージョン6.07
- Unicorn Coloring Book、バージョン134
Doctor Webのスペシャリストによるさらなる分析の結果、そのほかにも、すでにGoogle Playから削除されている、 Android.RemoteCode.152.origin を含んだ複数のアプリケーションが特定されています。
- Subwater Subnautica、バージョン1.7
- Quiet, Death! 、バージョン1.1
- Simulator Survival、バージョン0.7
- Five Nigts Survive at Freddy Pizzeria Simulator、バージョン12
- Hello Evil Neighbor 3D、バージョン2.24
- The Spire for Slay、バージョン1.0
- Jumping Beasts of Gang、バージョン1.9
- Deep Survival、バージョン1.12
- Lost in the Forest、バージョン1.7
- Happy Neighbor Wheels、バージョン1.41
- Subwater Survival Simulator、バージョン1.15
- Animal Beasts、バージョン1.20
以下の画像は、 Android.RemoteCode.152.origin の埋め込まれたソフトウェアの例です。
モバイルデバイスが悪意のあるプログラムや不要なプログラムに感染するリスクを減らすため、Doctor Webでは既知の信頼できる開発者によるアプリケーションのみをインストールすることを推奨しています。Android向けのDr.Webアンチウイルス製品は、 Android.RemoteCode.152.origin の既知の亜種をすべて検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
[Android.RemoteCode.152.originの詳細]
#Android, #Google_Play, #ad_software, #Trojan
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
04.16 Doctor Web : ユーザーを有料サービスに登録させる、Google Play上のトロイの木馬
2018年4月16日
株式会社Doctor Web Pacific
サイバー犯罪者は開発者Roman Zencovを名乗り、人気のアプリケーションを装って Android.Click.245.origin を配布していました。それらの中には、まだAndroid版のリリースされていないゲームMiraculous Ladybug & Cat Noir、春先に有名になった、電話を発信し電話番号を保存するアプリGetContact、Yandexアプリケーションに組み込まれていて個別のアプリとしては提供されていない音声AIアシスタントAliceなどがあります。トロイの木馬を含んだプログラムの1つは、Google Play上の新しい人気アプリ上位30にランクインしています。
Doctor Webは Android.Click.245.origin についてGoogle社に報告を行い、このトロイの木馬はGoogle Playから削除されましたが、2万を超えるユーザーが偽のアプリケーションをダウンロードしています。これらのプログラムはいずれもユーザーの期待する機能を持っていません。その唯一の目的はサイバー犯罪者のコマンドに従ってWebページを読み込むということです。
以下の画像は、Google Play上で発見された悪意のあるアプリケーションのページです。
起動されると、 Android.Click.245.origin はC&Cサーバーとの接続を確立し、サーバーからのタスクを待ちます。次に、感染させたデバイスのIPアドレスに応じて、読み込むべき特定のWebサイトへのリンクを取得します。 Android.Click.245.origin はこのリンクを辿り、WebViewを使用して特定のページを表示させます。デバイスがWi-Fi経由でインターネットに接続している場合、ユーザーは該当するボタンをクリックすることでアプリケーションをダウンロードするよう促されます。例えば、ユーザーが偽の音声AIアシスタントAliceを起動した場合、ダウンロードされるのは「Alice Yandex.apk」ファイルです。
ユーザーがファイルをダウンロードしようとすると、認証目的やダウンロードを確定するためという名目で、電話番号を入力するよう求められます。電話番号を入力したユーザーは、「ダウンロード」を完了するためにWebサイト上で入力しなくてはならない確認コードを受け取ります。ところが、ユーザーは目的のプログラムを入手する代わりに有料サービスに登録されてしまいます。
感染させたデバイスがモバイル通信経由でインターネットに接続している場合、トロイの木馬によって開かれたWebサイトはいくつかのリダイレクトを行い、その後、Google ChromeでWebサイトが表示されます。このページで、ユーザーは「Continue(続ける)」をクリックしてファイルをダウンロードするよう促され、ダウンロードが開始される別のサイトへとリダイレクトされます。「Start download(ダウロードを開始する)」をクリックしたユーザーは、 Wap-Clickテクノロジーを使用して高額なサービスに自動的に登録され、毎日使用料が引き落とされることになります。また、そのようなサービスへは、電話番号やSMSで受け取る確認コードの入力無しにアクセスすることができます。
タスクを受け取らなかった場合、トロイの木馬はインターネットから複数の写真をダウンロードし、それらを画面上に表示させます。
不要なサービスにユーザーを登録させる方法は、サイバー犯罪者にとって最も一般的かつ良く知られた不正な収益源となっています。中でも特に、Wap-Clickを使用したそのような高額サービスへの登録は、登録についてユーザーに知らせることがなく、悪徳なコンテンツプロバイダによって使用されることが多いことから、非常に危険です。
お金を失うことを防ぐため、スマートフォンやタブレットのユーザーはWebサイトを閲覧する際は慎重になり、疑わしいリンクやボタンをクリックしないようにしてください。また、良く知られた信頼できる開発者によって配信されているソフトウェアのみをインストールするようにし、アンチウイルスを使用することをお勧めします。
Dr.Web for Androidは Android.Click.245.origin の既知の亜種をすべて検出します。したがって、Dr.Webのユーザーに危害が及ぶことはありません。
#Android, #Google_Play, #mobile, #paid_subscription, #fraud
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
04.05 Doctor Web : Sberbank顧客の7,800万ルーブル以上が脅威にさらされる
2018年4月5日
株式会社Doctor Web Pacific
この Android.BankBot.358.origin は2015年よりDoctor Webに知られています。ウイルスアナリストは、 Sberbankのロシアの顧客を攻撃するよう設計された Android.BankBot.358.origin の新たな亜種が、すでに6万をこえるモバイルデバイスを感染させているものと見ています。ウイルス作成者はこの悪意のあるアプリケーションの複数の異なるバージョンを拡散させていることから、その被害者の数は大幅に増加する可能性があります。サイバー犯罪者が感染したデバイスの銀行口座から盗むことのできる総額は7,800万ルーブルを超えます。さらに、サイバー犯罪者は携帯電話のアカウントから270万ルーブルを盗むことができます。
以下の画像は、感染したデバイスに関する情報と検出されたボットネットの1つに関する統計を含んだ Android.BankBot.358.origin の管理パネルのセクションです。
このバンキング型トロイの木馬は、サイバー犯罪者および悪意のあるプログラム自体の両方から送信される偽のSMSメッセージ経由で拡散されています。メッセージの多くは Avito.ru ユーザーからのものを装って送信されています。これらのSMSメッセージは、ユーザーに対し、リンクを辿り、投稿した広告に対するレスポンスを読むよう提案するものです。例えば、「Good day, are you interested in an exchange? (こんにちは、取引しませんか?)」という文章が多く使用されています。また、モバイルデバイスユーザーは、ローンやモバイル送金、銀行口座への送金に関する偽の通知を受け取る場合もあります。以下は、トロイの木馬のサーバーの管理パネルで設定され、サイバー犯罪者のコマンドに応じて送信されたフィッシングメッセージの例です。
ユーザーがメッセージのリンクを辿ると、サイバー犯罪者のWebサイトに飛ばされ、そこからモバイルデバイス上に悪意のあるAPKファイルがダウンロードされます。ダウンロード後にトロイの木馬がインストールされる可能性を向上させるため、サイバー犯罪者は Android.BankBot.358.origin に実際のAvitoラベルを使用することで信憑性を高めています。このトロイの木馬の一部の亜種は、Visaやウエスタンユニオン決済システムを使用するためのソフトウェアなどの他のプログラムとして拡散される場合があります。
Android.BankBot.358.origin は初回起動時にデバイス管理者権限へのアクセスを要求します。この要求は、ユーザーが諦めて求められるすべての権限を許可するまでしつこく続けられます。必要なすべての特権を取得した後、トロイの木馬はインストールエラーに関する偽のメッセージを表示し、ホーム画面上のプログラムのリストから自身のアイコンを削除します。こうして Android.BankBot.358.origin はスマートフォンやタブレット上で自身の存在を隠そうと試みます。ユーザーが管理者のリストからトロイの木馬を削除しようとすると、 Android.BankBot.358.origin はセルフプロテクション機能を有効にし、システム設定の該当するウィンドウを閉じます。また、トロイの木馬の一部のバージョンは、独自のロック画面PINコードを追加でインストールします。
デバイスを感染させた後、 Android.BankBot.358.origin はC&Cサーバーとの接続を確立し、感染が成功した旨を通知して、その後の指示を待ちます。このトロイの木馬の主な目的はロシア語圏の Sberbankの顧客から金銭を盗むことで、その主要な攻撃ベクターはフィッシングです。サイバー犯罪者は、偽のメッセージを含むウィンドウで感染したデバイスをブロックするためのコマンドをトロイの木馬に対して送信します。このウィンドウは、リモートバンキングならびに決済システムである Sberbank Onlineの外観を模倣し、 Sberbankやその他の金融機関の顧客であるかどうかに関係なく、すべてのユーザーに対して表示されます。メッセージの内容は、1万ルーブルの送金を受け取ることができると通知するものとなっています。お金を受け取るために、スマートフォンまたはタブレットのユーザーは、カード番号、名前、有効期限、CVVセキュリティコードなどのバンクカード情報を提供するよう促されます。さらに、この悪意のあるウィンドウは必要なすべてのデータを入力しない限り閉じることができず、デバイスはブロックされたままになります。そのため、ユーザーは「銀行口座への送金」を確定しなければならず、入力されたバンクカード情報はサイバー犯罪者に送信されます。その結果、犯罪者は被害者の銀行口座からすべての金銭を盗むことができるようになります。
ただし、本記事掲載時点において、このトロイの木馬の既存の亜種はバンクカード情報について完全なチェックを行っておらず、どのようなデータを入力してもブロックは解除されます。したがって、 Android.BankBot.358.origin の攻撃を受けたモバイルデバイスユーザーはフィッシングウィンドウを閉じ、アンチウイルスを使用してこの悪意のあるプログラムを削除することができます。その方法は、偽のフォームに16~18桁からなる任意のカード番号を入力し、2017年~2030年の間の有効期限を指定するというものです。絶対に、実際の Sberbankまたはその他のカードの情報を入力しないようにしてください。サイバー犯罪者が口座へのアクセスを取得してしまいます。
しかしながら、偽の情報が入力されたと気付いたウイルス作成者がスマートフォンやタブレットを再度ブロックするためのコマンドを送信することを防ぐことはできません。そのため、フィッシングウィンドウが閉じた後に、できるだけ早くアンチウイルスを使用してデバイスをスキャンし、トロイの木馬を削除する必要があります(ダウンロードはこちらから : https://download.drweb.co.jp/android/)。
ユーザーがモバイルバンキングサービスを使用している場合、 Android.BankBot.358.origin はそれを使用して被害者の口座から金銭を盗もうとします。トロイの木馬は、オンラインバンキングシステムで動作を実行するためのコマンドを含んだSMSメッセージを密かに送信します。その後、ユーザーの現在のカード残高を確認し、サイバー犯罪者の銀行口座またはモバイルアカウントに自動的に送金を行います。以下の画像は、リモートバンキングサービスを利用して金銭を盗む Android.BankBot.358.origin の例です。
さらなる収益を得るために、 Android.BankBot.358.origin の一部のバージョンでは、禁止されている動画を見たことに対する罰金を要求するメッセージを表示させることで、感染したデバイスをブロックすることができます。また、その悪意のある動作を隠すため、このトロイの木馬の複数の亜種は、システムアップデートのインストールに関する通知によって、感染したスマートフォンやタブレットの画面をブロックすることができます。
ウイルス作成者は、C&Cサーバーの管理パネルでウィンドウブロックのパラメータ(表示されるメッセージのテキスト、表示期間、および必要な身代金など)を設定することができます。以下は、コントロールパネルの該当するセクションの例です。
金銭を盗んだり、感染したデバイスをブロックする以外に、 Android.BankBot.358.origin は他の悪意のある動作も実行することができます。 Android.BankBot.358.origin はサイバーから受け取ったコマンドに応じて以下の動作を実行します。
- 自身を更新する
- 連絡先リストに含まれたすべての番号に対してSMSメッセージを送信する
- コマンド内で指定されたすべての番号に対してSMSメッセージを送信する
- サイバー犯罪者によって指定されたWebサイトを読み込む
- デバイス上に保存されたすべてのSMSメッセージをサーバーに送信する
- 連絡先リスト内の連絡先に関する情報を取得する
- 偽の受信SMSメッセージを作成する
Dr.Web for Androidは Android.BankBot.358.origin のすべての既知の亜種を検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。Doctor Webでは、 Android.BankBot.358.origin に関する情報をすでに Sberbankに提供しています。また、このトロイの木馬について引き続き監視を行っていきます。
#Android #banker #mobile #ransom #banking_Trojan
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
QRコードを使用してDr.Web Security Space for Androidをダウンロード
04.03 2018年3月のモバイルマルウェア
2018年4月3日
株式会社Doctor Web Pacific
2018年3月、Doctor WebはAndroidスマートフォンの数十のモデルでファームウェア内に埋め込まれていた Android.Triada.231 に関する調査の結果を公表しました。また、Google Play上で危険なプログラムが多数検出されています。それらの中には、ロシアのユーザーから金銭を盗むよう設計されたAndroid向けのバンキング型トロイの木馬 Android.BankBot.344.origin が含まれています。また、あらゆるWebページを読み込んで表示させることのできる Android.Click に属するトロイの木馬も検出されています。そのほか、3月には Android.BankBot.149.origin のソースコードを基に作成された新たなバンキング型トロイの木馬がDoctor Webのスペシャリストによって発見されました。
3月の主な傾向
- Androidモバイルデバイスの数十のモデルでファームウェア内に埋め込まれた危険なトロイの木馬を検出
- Google Play上で悪意のあるプログラムを検出
- 新たなバンキング型トロイの木馬の出現
3月のモバイル脅威
3月、Doctor WebはAndroidデバイスの40を超えるモデルのファームウェア内に埋め込まれたトロイの木馬 Android.Triada.231 の検出について発表しました。2017年より知られているこの悪意のあるプログラムは、動作中のすべてのアプリケーションのプロセスを感染させ、サイバー犯罪者のコマンドに応じて様々な動作を(ソフトウェアをインストール・削除するなど)密かに実行することができます。感染したデバイスの製造メーカーに対してDoctor Webより報告を行ったところ、一部のメーカーからは Android.Triada.231 の削除されたファームウェアのアップデートが直ちにリリースされました。
Dr.Web for Androidによる統計
- Android.HiddenAds.253
- Android.HiddenAds.246.origin
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Mobifun.4
- 別のAndroidアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.RemoteCode.117.origin
- 悪意のあるものを含む、様々なプログラムモジュールをダウンロード・起動させるトロイの木馬です。
- Android.Packed.15893
- プログラムパッカーで保護されたAndroid向けトロイの木馬です。
- Adware.Adtiming.1.origin
- Adware.Adpush.601
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
- Tool.SilentInstaller.1.origin
- Tool.SilentInstaller.6.origin
- ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。
バンキング型トロイの木馬
3月の初旬、Doctor Webのウイルスアナリストは、ロシアの様々な金融機関のオンラインバンキングサービスにアクセスするためのバンキングアプリケーションを装って拡散されている Android.BankBot.344.origin をGoogle Play上で検出しました。この悪意のあるプログラムはユーザーに対し、ログイン認証情報を入力してモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するよう促します。入力されたデータはすべてサイバー犯罪者に送信され、ユーザーの口座から金銭を盗むために使用されます。この脅威に関する詳細については、こちらの記事をご覧ください。
3月中旬、Doctor Webは Android.BankBot.149.origin のソースコードを基に作成された新たなAndroid向けバンキング型トロイの木馬について報告しました。 Android.BankBot.325.origin と名付けられたそのうちの1つは、バンキングプログラムのほか、ソーシャルネットワークや仮想通貨を使用するためのソフトウェアの起動をトラッキングし、それらのウィンドウの前面に偽の認証フォームを表示させます。ユーザーが入力したログイン情報やその他の機密情報は Android.BankBot.325.origin によってサイバー犯罪者に送信されます。また、ウイルス作成者はこのトロイの木馬をサイバースパイ行為や感染したデバイスへのリモートアクセスに使用していました。
GOOGLE PLAY上のトロイの木馬
3月、Doctor Webのスペシャリストは Android.Click ファミリーに属するトロイの木馬を含んだ70を超えるプログラムをGoogle Play上で検出しました。 Android.Click.415、 Android.Click.416、 Android.Click.417と名付けられた悪意のあるアプリケーションは、人気のソフトウェアを装って、または偽のゲームやレシピコレクション、編み物マニュアルに含まれて拡散されていました。これらトロイの木馬はC&Cサーバーから受け取ったコマンドに応じて、偽のページを含むあらゆるWebページを読み込み、表示させることができます。
Androidモバイルデバイス向けの悪意のあるプログラムは、サイバー犯罪者がそれらを使用して機密情報を盗んだり、感染したスマートフォンやタブレットをコントロールしたり、銀行口座から金銭を盗んだりすることを可能にすることから、深刻な脅威となっています。トロイの木馬は依然としてGoogle Playから拡散され、ファームウェア内に埋め込まれています。悪意のあるアプリケーションや不要なアプリケーションからモバイルデバイスを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
03.20 Doctor Web : サイバー犯罪者によって広く用いられるツールと化した バンキング型トロイの木馬 Android.BankBot.149.origin
2018年3月20日
株式会社Doctor Web Pacific
Android.BankBot.149.origin は典型的な一連の機能を持つバンキング型トロイの木馬として登場しました。様々な金融機関のオンラインバンキングシステムから口座のユーザー名とパスワードを盗むためのフィッシングウィンドウを表示させるほか、クレジットカードの情報を盗むことができ、また、送金確認のワンタイムパスワードにアクセスするために受信するSMSを横取りする機能を備えていました。このトロイの木馬のソースコードが一般に公開されると、ウイルス作成者たちはそれを基に、似たようなトロイの木馬を多数作成するようになりました。それと同時に、犯罪者がそれらトロイの木馬をGoogle Playから次々に拡散させました。そのようなバンキング型トロイの木馬には、無害で便利なアプリケーションを装って拡散されていた Android.BankBot.179.origin、 Android.BankBot.160.origin、 Android.BankBot.163.origin、 Android.BankBot.193.origin、 Android.Banker.202.originなどがあります。
Android.BankBot.250.origin としてDr.Webウイルスデータベースに追加されているトロイの木馬もまた、 Android.BankBot.149.origin のコードを使用して作成されたまた別のトロイの木馬です。Anubisとしても知られるこのトロイの木馬の最初のバージョンは2017年11月にDoctor Webのウイルスアナリストによって発見されました。これらの亜種は Android.BankBot.149.origin の機能をほぼ完ぺきにコピーしています。このバンキング型トロイの木馬は以下の動作を実行することができます:
- コマンドで指定された番号に対して、特定のテキストを含んだSMSメッセージを送信する
- USSDリクエストを実行する
- デバイス上に保存されたSMSメッセージのコピーを管理サーバーに送信する
- インストールされているアプリケーションに関する情報を受け取る
- コマンドで指定されたテキストを含むダイアログボックスを表示させる
- 追加の動作許可を要求する
- コマンドで指定された内容のプッシュ通知を表示させる
- トロイの木馬のコード内で設定されている内容のプッシュ通知を表示させる
- サーバーWebページから受け取ったコンテンツを表示させるデバイスウィンドウWebViewの画面をブロックする
- 連絡先リストにあるすべての番号をサーバーに送信する
- 連絡先リストにあるすべての番号に対してSMSメッセージを送信する
- デバイスとその現在位置に関する情報にアクセスする
- アクセシビリティ機能 (Accessibility Service) へのアクセスを要求する
- 感染させたスマートフォンやタブレットのIPアドレスを取得する
- 自身の設定ファイルをクリーンアップし、動作を停止する
以下の画像は、トロイの木馬 Android.BankBot.250.origin のコントロールパネルの一例です。
Android.BankBot.250.origin の新しいバージョンの登場に伴い、その機能は次第に拡張されていきました。 Android.BankBot.325.origin と名付けられたトロイの木馬には、感染したデバイスにリモートでアクセスする機能が備わっています。その結果、このバンキング型トロイの木馬はリモート管理ユーティリティまたはRAT (Remote Administration Tools:リモート管理ツール) として動作することができます。また、感染したスマートフォンやタブレットのメモリ内に保存されたファイルのリストを確認し、それらのファイルを管理サーバーにダウンロードしたり削除したりすることができるという機能のほか、画面上で起こっているすべてのことを監視し、スクリーンショットを作成してそれらを犯罪者に送信するという新たな機能が加わっています。さらに、 Android.BankBot.325.origin はウイルス作成者のコマンドに応じて内蔵マイクで周囲の音声を聞くことができます。そのため、サイバースパイ行為に使用される可能性があります。以下の画像は、トロイの木馬の管理サーバーの管理パネルのセクションです。このセクションで、犯罪者はトロイの木馬にコマンドを与えることができます。
バンキング型トロイの木馬の分析結果により、ウイルス作成者は、デスクトップシステムへのリモートアクセスシステムを表し、Virtual Network Computing (ヴァーチャル・ネットワーク・コンピューティング) の略語である「VNC」をメソッド名とコントロールコマンド内で使用しているということが示されていました。ところが、これは Android.BankBot.325.origin では導入されておらず、犯罪者はその名前を自分たちの便宜のためのみに使用しています。いずれにしても、サイバー犯罪者は感染したデバイスを遠隔操作する能力を身につけ始め、バンキング型トロイの木馬をより普遍的な悪意のあるアプリケーションへと変化させていると結論付けることができます。以下の画像は Android.BankBot.325.origin のコード片です。前述の略語が使用されています。
Doctor Webのウイルスアナリストによって調査された Android.BankBot.325.origin の最新の亜種の1つには、さらなる機能が追加されていました。以下は、そのリストです。
- コマンドで指定された番号に対して、特定のテキストを含んだSMSメッセージを送信する
- USSDリクエストを実行する
- アプリケーションを起動させる
- 管理サーバーのアドレスを変更する
- デバイス上に保存されたSMSメッセージのコピーを管理サーバーに送信する
- インストールされているアプリケーションに関する情報を受け取る
- キーボードで入力された文字を記録する (キーロガー)
- 追加の動作許可を要求する
- コマンドで指定されたテキストを含むダイアログボックスを表示させる
- コマンドで指定された内容のプッシュ通知を表示させる
- トロイの木馬のコード内で設定されている内容のプッシュ通知を表示させる
- 連絡先リストにあるすべての番号をサーバーに送信する
- 連絡先リストにあるすべての番号に対してSMSメッセージを送信する
- サーバーWebページから受け取ったコンテンツを表示させるデバイスウィンドウWebViewの画面をブロックする
- アクセシビリティ機能 (Accessibility Service) へのアクセスを要求する
- 通話をリダイレクトする
- コマンドで指定されたWebサイトをブラウザで開く
- WebViewを使用してWebページへのリンクを開く
- ファイルを暗号化して身代金を要求する
- ファイルを復号化する
- デバイスのマイクを使用して周囲の音声を録音する
- デバイスとその現在位置に関する情報にアクセスする
- デバイスのIPアドレスを取得する
- 設定ファイルをクリーンアップし、トロイの木馬を停止させる
以下の画像は、犯罪者が管理パネルを介してバンキング型トロイの木馬に送信することのできるコマンドの一覧を示しています。
バンキング型トロイの木馬に対して送信されるコマンドのほとんどは同じパネル内で設定されます。たとえば、以下の画像はファイルの暗号化設定のものですが、ウイルス作成者は暗号化キー、 Android.BankBot.325.origin が被害者から要求する身代金の金額 (例:ビットコインで) 、送金のための e-wallet (イーウォレット) 番号を設定することができます。
同じパネル内で、サイバー犯罪者が必要とするアプリケーションをユーザーに起動させるための偽の通知を設定することができます。そのアプリケーションが起動されると、トロイの木馬はログインとパスワード、およびその他の機密情報を要求するフィッシングフォームを表示させ、それらの情報をウイルス作成者に送信します。
同様に、フィッシングウィンドウも追加のパラメータで設定されます。
Android.BankBot.325.origin は、バンキングサービス、決済システム、ソーシャルネットワークにアクセスするためのソフトウェアを含む、160を超えるプログラムの起動時に偽の認証フォームを表示させます。さらに、それらのプログラムには、仮想通貨を扱うための人気のアプリケーションが追加されています。 Android.BankBot.325.origin は、そのようなプログラムからログインとパスワードを盗もうと試みる最初のバンキング型トロイの木馬ではありませんが、本物のアプリケーションのインターフェースに似せたフィッシングウィンドウの外観を持っています。以下の画像は、そのような偽の認証フォームの例です。
ウイルスアナリストによると、ロシア、ウクライナ、トルコ、英国、ドイツ、フランス、米国、香港、ハンガリー、イスラエル、日本、ニュージーランド、ポーランド、ルーマニアのユーザーがこのトロイの木馬による攻撃を受けています。ただし、このリストには、サイバー犯罪者が興味を示した国が新たに加わっていく可能性があります。
Doctor Webのスペシャリストは、 Android.BankBot.325.origin の作成者は引き続きこのトロイの木馬の機能を向上させ続け、感染したスマートフォンやタブレットの遠隔操作に新たな機能を追加していくものと予測しています。新たなスパイ機能が追加される可能性があります。Dr.WebのAndroid向けアンチウイルス製品は、この悪意のあるアプリケーションのすべての既知の亜種を検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
#Android #banking_Trojan #bitcoin
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
03.13 Doctor Web : 偽の人気アプリケーションをフィッシングに使用する サイバー犯罪者
2018年3月13日
株式会社Doctor Web Pacific
検出されたプログラムは、人気アプリケーションと同じ名前、そしてそっくりなアイコンを持っています。Doctor Webのセキュリティリサーチャーによって、偽のQIWIアプリケーション(ロシアの決済サービスプロバイダ)、 Sberbank Online、 Odnoklassniki およびVK(人気のソーシャルネットワーク)、 NTV(ロシアのテレビチャンネル)が見つかっています。以下の画像では、サイバー犯罪者がどのように被害者を騙すのかが分かります。左の画像は、Google Play上で簡単に見つけることのできる偽アプリケーションのページです。そして右の画像は本物のアプリケーションのページです。
偽のアプリケーションは起動される度にC&Cサーバーに接続し、サーバーは「none」パラメータで応答するか、またはサイバー犯罪者によって指定されたWebリンクを送信します。パラメータを受信すると、悪意のあるプログラムはリソースから複数の画像を抽出してユーザーに対して表示します。Webリンクを受信した場合はWebページを読み込み、表示させます。このページはWebViewを介してアプリケーション内で直接開かれます。ユーザーには、ターゲットとなるインターネットアドレスへのリンクは表示されません。表示されるWebページのコンテンツはさまざまです。例えば、スマートフォンユーザーに対しては、オンラインバンキングシステムやソーシャルネットワークの偽のログインフォームが表示されます。その上、Androidスマートフォンやタブレットのユーザーは、フィッシング攻撃を受ける危険性があります。この機能は深刻な脅威となることから、当該ソフトウェアは Android.Click.415 としてDr.Webウイルスデータベースに追加されました。
上記トロイの木馬の他に、70を超える同じようなプログラムがDoctor Webセキュリティリサーチャーによって発見されており、27万人以上のユーザーがそれらをダウンロードしています。それらのアプリケーションには、偽のゲーム、レシピコレクション、編み物マニュアルなどがあり、その一部には謳われた機能を実際に実行するものもあります。しかしながら、 Android.Click.415 と同様にC&CサーバーからあらゆるWebページのリンクを受け取ることもでき、それらのWebページを読み込み、ユーザーに対して表示させる機能を備えています。これらのプログラムもまた、 Android.Click.416 および Android.Click.417 としてウイルスデータベースに追加されました。また、悪意のあるアプリケーションのさまざまな亜種が、動作中にモバイルデバイスの画面上に常に広告を表示させます。
Tezov apps、 Aydarapps、 Chmstudio、 SVNGamesの少なくとも4つのソフトウェアデベロッパーがトロイの木馬を拡散しています。Doctor Webでは、検出されたすべての悪意のあるアプリケーションについてGoogle社に報告しましたが、本記事掲載時点で、アプリケーションは未だダウンロード可能な状態となっています。
Doctor Webでは、たとえGoogle Playのような信頼できるソースからアプリケーションをインストールする場合であっても、ソフトウェアデベロッパーの名前に注意を払う必要があるということにユーザーの注意を喚起しています。サイバー犯罪者は、アプリの外観をコピーし、似たような名前を使用することで、ソフトウェア配信サービスで簡単に見つけることのできる偽のアプリをユーザーにインストールさせることができます。Dr.WebのAndroid向けアンチウイルス製品は Android.Click.415 、 Android.Click.416 、 Android.Click.417 のすべての既知の亜種を検出・削除することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
03.05 Doctor Web、ロシアの銀行利用者を攻撃するよう設計されたAndroid向け トロイの木馬をGoogle Play上で発見
2018年3月5日
株式会社Doctor Web Pacific
Android.BankBot.344.origin と名付けられたこのトロイの木馬は「VSEBANKI – Vse banki v odnom meste(ALLBANKS – すべての銀行を一か所に)」と呼ばれるアプリケーションに隠されていました。サイバー犯罪者は2月25日にアプリケーションをGoogle Play上にアップロードし、500人近いモバイルユーザーが実際にアプリをダウロードしています。さらに、犯罪者は「ラッキーな」ユーザーに代わってわざわざ偽のレビューまで投稿しています。Doctor Webのスペシャリストはこのトロイの木馬についてGoogle社に報告を行い、その後直ちにトロイの木馬はGoogle Playから削除されました。
バンキングアプリケーションを装ってGoogle Playから拡散されたトロイの木馬のデザイン
Android.BankBot.344.origin は、同じくGoogle Playから拡散され、2月に発見された悪意のあるプログラム Android.BankBot.336.origin の亜種です。以前のバージョンと同様、様々な金融機関のオンラインサービスへのアクセスを提供するアプリケーションを装って拡散されていますが、ウクライナのユーザーを標的としていた以前のバージョンと異なり、 Android.BankBot.344.origin はロシアの銀行の利用者を攻撃するよう設計されています。実際には、アプリケーションには提供されるはずの機能は備わっていません。
アプリケーションを使用してユーザーがオンラインアカウントにアクセスすることができるとされるロシアの銀行のリスト
Android.BankBot.344.origin はユーザーに対し、ログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するよう促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。その結果、犯罪者はユーザーから金銭を盗むことが可能になります。以前のバージョンと同様、 Android.BankBot.344.origin は受信するSMSメッセージを横取りすることができます。
フィッシング入力フォームの例。金融機関のオンラインバンキングにアクセスするためにログイン認証情報を求められる。
フィッシング入力フォームの例。ユーザーはログインし、クレジットカード情報を入力するよう促される。
Doctor Webでは、オンラインバンキングシステムを使用する際は金融機関の公式アプリケーションのみをインストールするよう推奨しています。Dr.Web for Androidは Android.BankBot.344.origin の既知の亜種をすべて検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。
#Android, #Google_Play, #banking_Trojan
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
03.01 Doctor Web : 40を超えるAndroidデバイスがメーカーからの出荷時に既に感染
2018年3月1日
株式会社Doctor Web Pacific
Android.Triada.231 は、危険なAndroid.Triadaトロイの木馬の1つです。これらトロイの木馬は重要なシステムコンポーネントであるZygoteのプロセスを感染させます。このプロセスはあらゆるアプリケーションの起動に使用されるものです。モジュール内に挿入されたトロイの木馬は、実行中の他のアプリケーションに侵入します。これにより、ユーザーの介入なしに様々な悪意のある動作を実行(アプリケーションを密かにダウンロード・起動する)することが可能になります。 Android.Triada.231 の主な特徴は、 libandroid_runtime.so システムライブラリ内に埋め込まれているという点にあります。このトロイの木馬は個別のプログラムとして拡散されるのではなく、製造過程でデバイスのファームウェア内に侵入します。ユーザーが購入するとき、デバイスは既に感染していることになります。
昨年の夏、 Android.Triada.231 を検出したDoctor Webのセキュリティリサーチャーは、感染したデバイスを製造しているメーカーに対して報告を行いました。しかしながら、新しいスマートフォンのモデルは依然としてこのトロイの木馬に感染し続けています。たとえば、2017年12月に発売されたLeagoo M9スマートフォンでの検出があげられます。その上、Doctor Webアナリストの調査によると、このスマートフォンのファームウェアへのトロイの木馬の埋め込みは、Leagooのパートナーである上海のソフトウェアデベロッパーからの要求に応じて行われたものであるということが示されています。この企業は、モバイルOSのイメージ内に含むために自社のアプリケーションの1つをLeagooに提供し、そのコンパイル前にシステムライブラリ内に第三者製コードを追加するよう指示していました。残念なことに、この問題のある要求についてメーカーはなんら疑問を抱きませんでした。その結果、最終的に Android.Triada.231 は易々とスマートフォンへの侵入を果たすこととなったのです。
このアプリケーションを分析した結果、Android.MulDrop.924と同じ証明書を使って署名されているということが明らかになりました。このトロイの木馬について、Doctor Webでは2016年に記事を掲載しています。 Android.Triada.231 の拡散には、モバイルOSイメージ内に追加のプログラムを含むよう要求したデベロッパーが、直接的または間接的に関わっているものと考えられます。
現時点で、 Android.Triada.231 は40を超えるデバイスモデルのファームウェアで検出されています:
- Leagoo M5
- Leagoo M5 Plus
- Leagoo M5 Edge
- Leagoo M8
- Leagoo M8 Pro
- Leagoo Z5C
- Leagoo T1 Plus
- Leagoo Z3C
- Leagoo Z1C
- Leagoo M9
- ARK Benefit M8
- Zopo Speed 7 Plus
- UHANS A101
- Doogee X5 Max
- Doogee X5 Max Pro
- Doogee Shoot 1
- Doogee Shoot 2
- Tecno W2
- Homtom HT16
- Umi London
- Kiano Elegance 5.1
- iLife Fivo Lite
- Mito A39
- Vertex Impress InTouch 4G
- Vertex Impress Genius
- myPhone Hammer Energy
- Advan S5E NXT
- Advan S4Z
- Advan i5E
- STF AERIAL PLUS
- STF JOY PRO
- Tesla SP6.2
- Cubot Rainbow
- EXTREME 7
- Haier T51
- Cherry Mobile Flare S5
- Cherry Mobile Flare J2S
- Cherry Mobile Flare P1
- NOA H6
- Pelitt T1 PLUS
- Prestigio Grace M5 LTE
- BQ-5510 Strike Power Max 4G (Russia)
このリストは包括的なものではありません。遥かに多くの数のスマートフォンモデルが感染している可能性があります。
このような大規模な Android.Triada.231 の拡散は、Androidデバイスメーカーはセキュリティの問題とシステムコンポーネント内へのトロイの木馬のコードの侵入についてほとんど注意を払っていないということを示すものです。これはエラーによるものか、あるいは悪意を持って意図的に行われたものであると考えられ、常習的なものである可能性があります。
Dr.Web for Androidは Android.Triada.231 のすべての亜種を検出します。お使いのモバイルデバイスが感染しているかどうかを確認するには、徹底的なスキャンを行ってください。root権限のあるDr.Web Security Space for Androidは、感染したシステムコンポーネントを修復することで Android.Triada.231 を駆除することができます。デバイスのroot権限を使用できない場合は、OSのクリーンなイメージをインストールすることでこのトロイの木馬を削除することができます。クリーンなイメージを入手するにはデバイスのメーカーに連絡してください。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
02.28 2018年2月のモバイルマルウェア
2018年2月28日
株式会社Doctor Web Pacific
2月、Doctor Webのセキュリティリサーチャーは、デバッグモードが有効になった様々なAndroidデバイスを感染させるマイニング型トロイの木馬を検出しました。そのほか、機密情報と金銭を盗む Android.BankBot.336.origin がユーザーを脅かしました。
2月の主な傾向
- 一部のAndroidデバイスを感染させるマイニング型トロイの木馬の拡散
- 新たなバンキング型トロイの木馬の拡散
2月のモバイル脅威
2月には Android.CoinMine.15 が広く拡散されました。サイバー犯罪者は、仮想通貨Moneroをマイニングするためにこのトロイの木馬を使用していました。 Android.CoinMine.15 はワームとして設計され、ネットワークに接続されたAndroidスマートフォンやタブレット、スマートテレビ、ルーター、メディアプレイヤーを感染させます。ただし、感染させることができるのは、デバイスでAndroid Debug Bridge(ADB)デバッグモードが有効になっている場合のみです。デバイスを感染させると、トロイの木馬のコンポーネントの1つが別のデバイスを検出し、トロイの木馬のコピーをそのデバイス上にインストールします。
Dr.Web for Androidによる統計
- Android.RemoteCode.121.origin
- Android.RemoteCode.117.origin
- 悪意のあるものを含む、様々なプログラムモジュールをダウンロード・起動させるトロイの木馬です。
- Android.HiddenAds.253
- Android.HiddenAds.222.origin
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Mobifun.4
- 別のマルウェアアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Adware.Adpush.601
- Adware.Jiubang.2
- Adware.Jiubang.1
- Adware.Leadbolt.12.origin
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールです。モバイルデバイス上に迷惑な広告を表示させます。
- Tool.SilentInstaller.1.origin
- ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。
バンキング型トロイの木馬
2月には、Google Play上で Android.BankBot.336.origin が検出されています。サイバー犯罪者は、様々なインターネットバンキングシステムで動作するよう設計された汎用アプリケーションとしてこのトロイの木馬を拡散していました。 Android.BankBot.336.origin はクレジットカードに関する情報に加えて、ユーザーのアカウントからログインとパスワードを盗みます。その後、トロイの木馬はユーザーの銀行口座からサイバー犯罪者へと密かに送金を行います。
ウイルス開発者はAndroid向けの悪意のあるプログラムを継続的に改良し、既知の手法や革新的な手法を駆使してそれらを拡散し続けています。Google Play上での様々なトロイの木馬の発見は依然として後を絶ちません。これらの脅威からスマートフォンやタブレット、その他のデバイスを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
02.08 Android TVを搭載したスマートテレビとAndroidデバイスの約8%が新しい マイニング型トロイの木馬の攻撃を受けやすい状態にある : 保護する方法についてDoctor Webからのアドバイス
2018年2月8日
株式会社Doctor Web Pacific
このAndroid向けトロイの木馬は仮想通貨 Monero(XMR) をマイニングするよう設計されており、ユーザーの操作なしに他のデバイスを感染させることができます。 Android.CoinMine.15 は、Android Debug Bridge(ADB) のインターフェースが使用する5555番ポートの開いているAndroidデバイスを感染させます。スマートテレビだけでなく、スマートフォンやタブレット、セットトップボックス、ルーター、メディアプレイヤー、レシーバーがこのトロイの木馬に感染する可能性があります。すなわち、ネットワークデバッグを使用するあらゆるデバイスが対象となります。Androidを搭載したシングルボードコンピューター Raspberry Pi 3もまた、もう1つの攻撃対象です。
このトロイの木馬は次の方法で拡散されます。 nohup、 sss、 bot.datファイルと共に droidbot.apk アプリケーションが感染したホスト上に、感染した別のデバイスを使用してインストールされます。次に、 nohupユーティリティを使用してsssファイルが実行されます。このファイルは、その動作中にデーモンとして機能します。その後、 JSON設定ファイル、マイニングアプリケーション(32ビット版および64ビット版OS用)、 droidbotトロイの木馬プログラムのコピーを含むその他のトロイの木馬のコンポーネントを bot.datから抽出します。起動されると、 droidbotはランダムなIPアドレスを生成し、5555番ポートに無限ループで接続しようとします。成功すると、トロイの木馬はADBのデバッグインタフェースを使用して、検出されたデバイスを感染させようとします。そして別のスレッドでは、仮想通貨 Monero(XMR) をマイニングするよう設計されたマイニングアプリケーションを起動させます。このような悪意のあるプログラムに感染した場合、デバイスのパフォーマンス低下、過熱、バッテリーの残量の急激な減少が起こることがあります。
ADBデバッグは、 Androidではデフォルトで無効になっています。しかしながら、それを有効にしているベンダーもあり、また、ADBはユーザーによって意図的に有効にすることも可能です。開発者はしばしばデバッグモードを使用します。Dr.Web for Androidによって収集された統計によると、Dr.Webアンチウイルスによって保護されているデバイスの8%でAndroid Debug Bridgeが有効になっています。この設定が潜在的脅威となっている限り、特別なDr.WebコンポーネントであるSecurity Auditorは、デバッグが有効になっていることについてユーザーに警告し、それを無効にするよう提案します。
Dr.Webのスペシャリストは、Androidデバイスのすべてのユーザーが、リスクウェアがないかどうかOSをスキャンすることを推奨しています。これは、Security Auditorを含んだDr.Web Security Space for AndroidをDoctor Web公式サイトまたはGoogle Playで購入することで行うことができます。お使いのデバイスでUSBデバッグを使用していない場合は、それを無効にすることをお勧めします。Android向けDr.Web製品は Android.CoinMine.15 を検出し、削除することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
#Android #mining #cryptocurrencies
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
