ウイルスレビュー(モバイル)
11.14 2019年10月のモバイルマルウェアレビュー
2019年11月14日
株式会社Doctor Web Pacific
秋2番目の月はAndroidユーザーにとって波乱に満ちた月となりました。ユーザーを有料サービスに登録させるクリッカー型トロイの木馬 Android.Click などの悪意のあるアプリケーションが多数、Google Play上で発見されています。発見された脅威の中には、同じくユーザーを高額なサービスに登録させ、任意のコードを実行することのできる Android.Joker ファミリーに属する悪意のあるアプリケーションも含まれていました。また、その他のトロイの木馬もDoctor Webのエキスパートによって発見されています。
10月の主な傾向
- Google Playから拡散される脅威の数が増加
10月のモバイル脅威
10月中旬、Doctor Webは Android.Click.322.origin、 Android.Click.323.origin、 Android.Click.324.originとしてDr.Webウイルスデータベースに追加されたクリッカー型トロイの木馬について記事を公表しました。これら悪意のあるアプリケーションは密かにWebサイトを開き、そこでユーザーを自動的に有料サービスに登録させます。このトロイの木馬は以下の特徴を備えています。
- 無害なアプリケーションに組み込まれている
- 市販のパッカーによって保護されている
- 良く知られたSDKを装っている
- 特定の国のユーザーのみを攻撃対象としている
10月を通して、これらクリッカーのさらなる亜種である Android.Click.791、 Android.Click.800、 Android.Click.802、 Android.Click.808、 Android.Click.839、 Android.Click.841がDoctor Webのウイルスアナリストによって検出されています。さらに、それらとよく似た悪意のあるアプリケーションが発見され、 Android.Click.329.origin、 Android.Click.328.origin、 Android.Click.844と名付けられました。これらトロイの木馬もユーザーを有料サービスに登録させますが、別のウイルス開発者によって作成されたものである可能性があります。これらのクリッカーはカメラアプリやフォトエディタ、壁紙集などの一見無害なプログラムに潜んでいました。
Dr.Web for Androidによる統計
- Android.HiddenAds.472.origin
- 迷惑な広告を表示させるトロイの木馬です。
- Android.RemoteCode.5564
- 任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスを犯罪者がコントロールすることを可能にするトロイの木馬です。
- Android.DownLoader.677.origin
- 別のマルウェアをダウンロードするトロイの木馬です。
- Android.Triada.465.origin
- 様々な悪意のある動作を実行する多機能なトロイの木馬です。
- Program.FakeAntiVirus.2.origin
アンチウイルスソフトウェアを模倣するアドウェアです。 - Program.MonitorMinor.1.origin
- Program.MobileTool.2.origin
- Program.FreeAndroidSpy.1.origin
- Program.SpyPhone.4.origin
Androidユーザーを監視するスパイウェアです。サイバースパイ行為に使用される可能性があります。
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.7.origin
- Tool.SilentInstaller.11.origin
- Tool.VirtualApk.1.origin
アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。 - Tool.Rooter.3
Androidデバイスのルート権限を取得するよう設計されたユーティリティです。サイバー犯罪者やマルウェアによって使用される可能性があります。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュール:
- Adware.Patacore.253
- Adware.Myteam.2.origin
- Adware.Toofan.1.origin
- Adware.Adpush.6547
- Adware.Altamob.1.origin
Google Play上のトロイの木馬
Google Play 上ではクリッカー型トロイの木馬に加え、 Android.Joker ファミリーに属する既知のマルウェアの亜種が複数、Doctor Web のウイルスアナリストによって発見されています。それらの中には Android.Joker.6、 Android.Joker.7、 Android.Joker.8、 Android.Joker.9、 Android.Joker.12、 Android.Joker.18、 Android.Joker.20.originが含まれていました。これらトロイの木馬は、任意のコードを実行してユーザーを高額なモバイルサービスに登録させるための悪意のある追加モジュールをダウンロードし、起動させます。いずれも、壁紙集、アートフィルター付きカメラアプリ、さまざまなユーティリティ、フォトエディタ、ゲーム、インスタントメッセンジャーなどの便利で無害なプログラムを装って拡散されています。
また、 Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬の新たな亜種も発見され、 Android.HiddenAds.477.origin と名付けられました。このトロイの木馬は動画プレイヤーや通話に関する情報を提供するアプリケーションを装って拡散されていました。起動されると、Androidホーム画面から自身のアイコンを隠し、迷惑な広告を表示させます。
そのほか、トロイの木馬 Android.SmsSpy.10437 と Android.SmsSpy.10447 がDr.Webのウイルスデータベースに追加されています。これらトロイの木馬は画像集やカメラアプリに潜み、受信するSMSメッセージの内容を傍受します。 Android.SmsSpy.10437 はC&Cサーバーからダウンロードした任意のコードを実行することもできます。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。

ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
10.18 ユーザーを有料サービスに登録させるAndroid向けクリッカー
2019年10月18日
株式会社Doctor Web Pacific
ウイルスアナリストは Android.Click.322.origin、 Android.Click.323.origin、 Android.Click.324.origin と名付けられた、この悪意のあるコードの複数の亜種を特定しました。本来の目的を隠すため、また、トロイの木馬の検出を困難にするため、サイバー犯罪者はいくつかの手段を用いています。まず、クリッカーをカメラアプリや画像集などの無害なアプリケーション内に組み込み、そして実際にそれらのアプリケーションとして機能するようにしています。その結果、ユーザーや情報セキュリティエキスパートはそれらを明確に脅威であると判断することができません。
さらに、これらのマルウェアはすべて市販のJiaguパッカーによって保護されており、それにより、アンチウイルスソフトウェアによるマルウェアの検出やコード分析を困難にしています。こうして、トロイの木馬はGoogle Playに組み込まれたセキュリティツールによる検出を高確率で回避しています。
また、ウイルス開発者は良く知られた広告ライブラリや分析ライブラリを装ってこのトロイの木馬を拡散させています。ホストソフトウェアに追加された後、トロイの木馬は自身をFacebookやAdjust SDKに埋め込み、それらのコンポーネントに紛れ込みます。
このクリッカーは特定の国のユーザーのみを攻撃対象としています。ユーザーがそれらの国に居住していない場合は悪意のある動作を実行しません。
以下は、このトロイの木馬を含んでいるアプリケーションの例です。
インストールされて起動されると、クリッカー(ここでは、例として亜種である Android.Click.322.origin を取り上げます)はOSの通知へのアクセスを許可するようユーザーに求めます。
ユーザーが許可を与えると、トロイの木馬は受信するテキストメッセージに関するすべての通知を隠し、それらメッセージを傍受することができるようになります。
次に、クリッカーは感染したデバイスに関する技術的データをC&Cサーバーに送信し、SIMカードのシリアル番号を確認します。それが攻撃対象とする国のものであった場合、 Android.Click.322.origin は電話番号に関する情報をサーバーに送信します。同時に、特定の国のユーザーに対してフィッシングウィンドウを表示し、電話番号を入力するか、Googleアカウントにログインするよう促します。
ユーザーのSIMカードが、攻撃対象とする国で登録されたものではない場合、トロイの木馬はいずれのアクションも実行せず、悪意のある活動を停止します。攻撃対象となっているのは以下の国のユーザーです。
- オーストリア
- イタリア
- フランス
- タイ
- マレーシア
- ドイツ
- カタール
- ポーランド
- ギリシャ
- アイルランド
電話番号を送信した後、 Android.Click.322.origin はC&Cサーバーからのコマンドを待ちます。C&Cサーバーから送信されるコマンドには、ロードするWebサイトのアドレスとJavaScriptコードが含まれています。このコードはJavascriptInterface経由でクリッカーをコントロールし、デバイス上にポップアップ通知を表示させ、Webページ上でクリックを実行し、さらにその他の動作も行います。
Webサイトのアドレスを受け取ると、 Android.Click.322.origin はそれを非表示のWebViewで開き、そのページにJavaScriptコードとクリック用のパラメータをロードします。有料サービスのWebサイトを開いた後、トロイの木馬は該当するリンクやボタンを自動的にクリックします。次に、SMSメッセージから確認コードを傍受し、ユーザーの操作なしに登録を完了させます。
このクリッカーは設計上SMSにアクセスすることはできませんが、次のような方法でその制限をすり抜けています。まず、トロイの木馬のサービスがSMSを処理するデフォルトアプリケーションからの通知を監視します。メッセージを受信すると、サービスはシステム通知を隠し、受信したSMSに関する情報をそれらの通知から抽出して、トロイの木馬のブロードキャストレシーバに送信します。その結果、ユーザーには受信したSMSに関する通知が表示されず、何が起こっているのかを知ることができません。口座からお金が引き落とされて、またはメッセージメニューを開き有料サービスに関するテキストを目にして初めて、ユーザーは自分が登録されていることに気が付きます。
Doctor Webでは検出された悪意のあるアプリケーションについてGoogle社に報告を行い、それらはGoogle Playから削除されました。このクリッカーの既知の亜種はすべてDr.Web for Androidによって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Android.Click.322.originの詳細(英語)
#Android, #Google_Play, #clicker, #paid_subscription

ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
10.10 2019年9月のモバイルマルウェアレビュー
2019年10月10日
株式会社Doctor Web Pacific
9月、Androidデバイスのユーザーはさまざまなマルウェアに脅かされました。それらの多くがGoogle Playから拡散され、その中にはダウンローダー Android.DownLoader 、バンキング型トロイの木馬 Android.Banker 、アドウェア型トロイの木馬 Android.HiddenAds が含まれていました。また、 Program.Panspy.1.origin 、 Program.RealtimeSpy.1.origin 、 Program.MonitorMinor などの、ユーザーをスパイするよう設計された潜在的に危険なアプリケーションの新しいバージョンがDoctor Webのエキスパートによっていくつか発見されています。
9月の主な傾向
- 引き続きGoogle Playから拡散され続ける悪意のあるアプリケーションや不要なアプリケーション
- 依然としてユーザーを脅かすスパイウェア
9月のモバイル脅威
9月に検出されたマルウェアの1つに、バンキング型トロイの木馬 Android.Banker.352.origin があります。このトロイの木馬は仮想通貨取引所 YoBit (ヨービット)の公式アプリケーションを装って拡散されていました。
起動されると、 Android.Banker.352.origin は偽のログインウィンドウを表示させ、入力された認証情報を盗みます。その後、サービスを一時的に利用できない旨のメッセージを表示させます。
このトロイの木馬はSMSメッセージから2段階認証コードを盗み、Eメールメッセージからアクセスコードを盗みます。また、さまざまなインスタントメッセンジャーやメールクライアントの通知を傍受し、ブロックします。盗んだデータはすべて Firebase Database に保存されます。
Dr.Web for Androidによる統計
- Android.RemoteCode.6122
- Android.RemoteCode.5564
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
- Android.HiddenAds.455.origin
- Android.HiddenAds.472.origin (新しい脅威)
- モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスを犯罪者がコントロールすることを可能にするトロイの木馬です。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュール:
- Adware.Patacore.253
- Adware.Gexin.3.origin
- Adware.Zeus.1
- Adware.Altamob.1.origin
ユーザーの介入なしに密かにアプリケーションを起動させるリスクウェア:
- Tool.SilentInstaller.6.origin
Google Play上の脅威
9月にはバンキング型トロイの木馬 Android.Banker.352.origin のほかに、ブラジルの金融サービス機関利用者を標的としたマルウェア Android.Banker.347.origin もGoogle Play上で発見されています。このトロイの木馬は、これまでにもDoctor Webの記事で紹介したバンキング型トロイの木馬 Android.BankBot.495.origin や Android.Banker.346.origin などの亜種です。
Android.Banker.347.origin は家族の居場所を確認するためのプログラムを装ってGoogle Playから拡散されていました。
このトロイの木馬はAndroidのアクセシビリティサービスを利用してSMSメッセージから確認コードやその他の機密データなどの情報を盗みます。また、これまでの亜種と同様、サイバー犯罪者からのコマンドに従ってフィッシングページを開くことができます。
Google Play上では、 Android.HiddenAds ファミリーに属する新たなアドウェア型トロイの木馬もいくつか発見されています。その1つである Android.HiddenAds.444.origin は無害なプログラムやゲームに隠されていました。起動されると、 Android.HiddenAds.444.origin は自身のアイコンを隠し、迷惑な広告バナーを表示します。また、C&Cサーバーからのコマンドに従ってAPKファイルをダウンロードし、それらをインストールしようと試みます。
発見されたその他のマルウェアに、 Android.DownLoader.920.origin や Android.DownLoader.921.origin などのダウンローダ型トロイの木馬があります。これらトロイの木馬はゲームを装って拡散され、サーバーからのコマンドに従って様々なソフトウェアや悪意のあるプログラムをダウンロードし、それらをインストールしようとします。
そのほか、9月には Android.Joker ファミリーに属するトロイの木馬の亜種が複数Google Play上で発見されています。これら悪意のあるアプリケーションは、カメラのプラグイン、写真編集ソフト、画像集、システムユーティリティなどの一見無害なプログラムに潜んでいました。
これらトロイの木馬は任意のコードを実行するほか、補助的なDEXファイルをロードして実行することもできます。また、プレミアムコンテンツを含むサイトをダウンロードして該当するリンクをクリックし、登録を完了させるための確認コードをSMSから盗むことで、ユーザーを自動的に高額なサービスに登録させます。そのほか、 Android.Joker は電話帳のデータをC&Cサーバーに送信します。
ユーザーを高額なサービスに登録させるまた別のトロイの木馬は Android.Click.781 および Android.Click.325.origin と名付けられました。これらトロイの木馬もまた、サイトをダウンロードしてユーザーを自動的にプレミアムサービスに登録させます。また、サーバーからのコマンドに従ってOSやその他のプログラムからの通知を傍受することができます。これらトロイの木馬はカメラアプリを装って拡散されていました。
スパイウェア
9月、Doctor Webのエキスパートは、Androidデバイスのユーザーをスパイするよう設計されたリスクウェアの新たなバージョンをいくつか発見しました。それらのプログラムには、 Program.Panspy.1.origin 、 Program.RealtimeSpy.1.origin 、 Program.MonitorMinor が含まれていました。これらのスパイウェアを使用することで、SMSメッセージや通話、インスタントメッセンジャーでのやり取りをコントロールし、デバイスの位置を追跡し、その他の機密情報を受信することが可能になります。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。

ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
09.10 2019年8月のモバイルマルウェアレビュー
2019年9月10日
株式会社Doctor Web Pacific
夏最後の月となる8月、Doctor Webのウイルスアナリストは無害なアプリケーションに組み込まれたクリッカー型トロイの木馬 Android.Click.312.origin をGoogle Play上で検出しました。また、ダウンローダー型トロイの木馬 Android.DownLoader.915.origin や便利なソフトウェアを装って拡散される Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬、バンキング型トロイの木馬 Android.Banker.346.origin など、その他の悪意のあるソフトウェアも検出されています。
8月の主な傾向
- Google Play上で新たなマルウェアを検出
- 新たなアドウェアモジュールの登場
8月のモバイル脅威
8月上旬、Doctor Webは34個のGoogle Playアプリケーションで検出されたトロイの木馬 Android.Click.312.origin について記事を公表しました。この Android.Click.312.origin は、開発者によってソフトウェアに組み込まれた悪意のあるモジュールでした。合計で1億170万人を超えるユーザーが、このトロイの木馬の含まれたソフトウェアをダウンロードしています。
Android.Click.312.origin はC&Cサーバーから受け取ったコマンドに従って非表示のWebViewでリンクを開きます。また、ブラウザ上でWebサイトを開き、Google Play上にアプリケーションの広告を表示させることができます。 Android.Click.312.origin には次のような特徴があります。
- 起動から8時間経過した後に動作を開始する
- 一部の機能はリフレクションを使用して実行される
- WAP-Clickを使用してユーザーを有料モバイルサービスに登録させることができる
Android.Click.312.origin に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.HiddenAds.455.origin
- モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスを犯罪者がコントロールすることを可能にするトロイの木馬です。
- Android.Triada.467.origin
- 様々な悪意のある動作を実行するマルチ機能なトロイの木馬です。
- Android.RemoteCode.197.origin
- Android.RemoteCode.5564
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュール:
- Adware.Gexin.3.origin
- Adware.Patacore.253
- Adware.Zeus.1
- Adware.Altamob.1.origin
- Adware.Myteam.2.origin (a new threat)
Google Play上の脅威
Google Play上では、クリッカー Android.Click.312.origin のほかにダウンローダ型トロイの木馬 Android.DownLoader.915.origin も検出されています。VPNクライアントとして拡散されていたこのトロイの木馬は、アプリケーションをダウンロードしてインストールしようと試み、 Instagram や Telegram、 Google PlayのWebページのほか、犯罪者によって指定されたサービスを開きます。
また、 Android.HiddenAds.1598 や Android.HiddenAds.467.origin などの、 Android.HiddenAds ファミリーに属する新たなアドウェア型トロイの木馬も発見されました。このファミリーに属する他のトロイの木馬と同様、これらトロイの木馬も自身のアイコンを隠し、迷惑な広告を表示させます。
8月末には、ブラジルのAndroidユーザーを攻撃するバンキング型トロイの木馬がDoctor Webのエキスパートによって発見されました。 Android.Banker.346.origin と名付けられたこのマルウェアは、これまでに報告された同種のトロイの木馬と同様(2018年末に報告された例はこちらをご覧ください)、トランザクション認証コードやその他の機密情報を含む可能性のあるテキストメッセージから情報を盗むためにAndroid Accessibility Serviceを使用します。また、このトロイの木馬はサイバー犯罪者から受け取ったコマンドに応じてフィッシングページを開きます。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。

ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
08.15 Doctor Web:Google Playから約1億200万のAndroidユーザーによってインストールされたクリッカー型トロイの木馬
2019年8月15日
株式会社Doctor Web Pacific
このトロイの木馬はDr.Webの分類によって Android.Click.312.origin と名付けられた悪意のあるモジュールです。辞書やオンラインマップ、オーディオプレーヤー、バーコードスキャナー、その他のソフトウェアなどのごく普通のアプリケーションに組み込まれています。これらのプログラムはすべて実際に動作し、Androidユーザーには一見無害に見えるようになっています。さらに、ユーザーに疑いを抱かせないよう、 Android.Click.312.origin は起動から8時間経過した後になってようやく悪意のある動作を開始します。
起動されると、 Android.Click.312.origin は感染したデバイスに関する次の情報をC&Cサーバーに送信します。
- メーカーとモデル
- OSのバージョン
- ユーザーの居住国とデフォルトのシステム言語
- ユーザーエージェントID
- 携帯電話会社
- インターネット接続タイプ
- 表示パラメータ
- タイムゾーン
- トロイの木馬が組み込まれているアプリケーションのデータ
応答として、サーバーは必要な設定を送信します。マルウェアの一部の機能はリフレクションを使用しており、設定にはメソッドとクラスの名前、そしてそれらのパラメータが含まれています。これらはたとえば、 Android.Click.312.origin がアプリケーションのインストールと更新を監視するために使用するブロードキャストレシーバーやコンテンツオブザーバーを登録するために使用されます。
Play Marketクライアントによって新しいアプリケーションがインストールされたり、apkファイルがダウンロードされると、トロイの木馬はそのソフトウェアに関する情報とデバイスに関する技術的なデータをC&Cサーバーに送信します。そして、応答として非表示の WebView で開くWebサイトのアドレスと、ブラウザまたはGoogle Playでロードするためのリンクを受け取ります。
したがって、C&Cサーバーの設定と送信されるコマンドに応じて、トロイの木馬はGoogle Play上にアプリケーションの広告を表示させるだけでなく、広告(動画を含む)やその他の疑わしいコンテンツを含むあらゆるWebサイトを密かにロードすることができます。たとえば、トロイの木馬が組み込まれたアプリケーションをインストールした後、高額なコンテンツプロバイダーサービスに自動的に登録されたという声がユーザーからあがっています。
図1. 1人目のユーザーのコメント:「インストールした後、有料サービスに登録された! 気を付けて。このアプリケーションはインストールしちゃダメ!!!」
開発者の返答:「どのサービスのことですか? 何かお間違えのようです」
2人目のユーザー:「インストールした後5つのサービスに登録されて、携帯電話のアカウントが空になってしまった」
図2. ユーザーのコメント:「これは一体何の冗談? Beeline(ロシアの携帯電話会社)のサブスクリプションにお金が引き落とされてる。Beelineとは契約してないのに」
図3. ユーザーのコメント:「ログインすると50ルーブル取られる。なんでなのか分からない。誰か説明して」
図4. ユーザーのコメント:「アプリを使用したら、怪しいサービスに登録された」
Doctor Webでは、トロイの木馬がそのようなWebサイトを開く際の条件を再現することはできませんでしたが、 Android.Click.312.origin によるこの不正なスキームは極めて簡単に実行することができると考えられます。トロイの木馬はC&Cサーバーに現在のインターネット接続タイプを通知するため、デバイスがモバイルデータ通信でインターネットに接続している場合、サーバーはそのことを知ることができます。その場合、サーバーは WAP-Click テクノロジーをサポートしているパートナーサービスのWebサイトを開くコマンドを送信します。このテクノロジーは、さまざまな有料サービスへの登録を簡易化するものですが、違法行為に使用されることが少なくありません。Doctor Webでは、 2017年および2018年にこの問題について取り上げています。中には、不要なサービスに登録させる際にユーザーによる確認を必要としない場合もあります。これは、同じページ上にあるスクリプトや、あるいは確認ボタンを「クリック」する機能を持ったトロイの木馬によって実行することができます。 Android.Click.312.origin は非表示の WebView でページを開くため、ユーザーの知らない間にすべての手順を完了させることが可能です。
Doctor Webのウイルスアナリストは、 Android.Click.312.origin が組み込まれた34のアプリケーションを特定しました。これらアプリケーションは5170万人を超えるユーザーによってインストールされています。さらに、このトロイの木馬の亜種である Android.Click.313.origin が、少なくとも5,000万人によってダウンロードされています。したがって、このトロイの木馬による脅威にさらされているモバイルデバイスユーザーの総数は、1億170万人を超えているということになります。以下は、このクリッカーが検出されたプログラムのリストです。
GPS Fix |
QR Code Reader |
ai.type Free Emoji Keyboard |
Cricket Mazza Live Line |
English Urdu Dictionary Offline - Learn English |
EMI Calculator - Loan & Finance Planner |
Pedometer Step Counter - Fitness Tracker |
Route Finder |
PDF Viewer - EBook Reader |
GPS Speedometer |
GPS Speedometer PRO |
Notepad - Text Editor |
Notepad - Text Editor PRO |
Who unfriended me? |
Who deleted me? |
GPS Route Finder & Transit: Maps Navigation Live |
Muslim Prayer Times & Qibla Compass |
Qibla Compass - Prayer Times, Quran, Kalma, Azan |
Full Quran MP3 - 50+ Audio Translation & Languages |
Al Quran Mp3 - 50 Reciters & Translation Audio |
Prayer Times: Azan, Quran, Qibla Compass |
Ramadan Times: Muslim Prayers, Duas, Azan & Qibla |
OK Google Voice Commands (Guide) |
Sikh World - Nitnem & Live Gurbani Radio |
1300 Math Formulas Mega Pack |
Обществознание - школьный курс. ЕГЭ и ОГЭ (Social Sciences - School Curriculum. State Uniform Examinations, Basic State Examinations.) |
Bombuj - Filmy a seriály zadarmo |
Video to MP3 Converter, RINGTONE Maker, MP3 Cutter |
Power VPN Free VPN |
Earth Live Cam - Public Webcams Online |
QR & Barcode Scanner |
Remove Object from Photo - Unwanted Object Remover |
Cover art IRCTC Train PNR Status, NTES Rail Running Status |
Doctor Webはこのトロイの木馬についてGoogle社に報告を行い、検出されたアプリケーションの一部は直ちにGoogle Playから削除されました。また、いくつかのアプリケーションが更新され、悪意のあるコンポーネントが削除されました。しかしながら、本記事掲載時点で、多くのアプリケーションは依然として悪意のあるモジュールが含まれたままダウンロード可能な状態となっています。
開発者はアプリケーションを収益化するためのモジュールを、責任を持って選択し、疑わしいSDKをソフトウェアに組み込むことのないようにしてください。Dr.Web for Androidは Android.Click.312.origin の既知の亜種が組み込まれたアプリケーションを検出・駆除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Android.Click.312.originの詳細(英語)
#Android, #Google_Play, #clicker
08.07 2019年7月のモバイルマルウェアレビュ
2019年8月7日
株式会社Doctor Web Pacific
7月、Doctor Webは、悪意のあるコマンドを実行し、機密データを盗み、偽のウィンドウや詐欺メッセージを表示する危険なトロイの木馬 Android.Backdoor.736.origin について記事を公開しました。また、7月には Android.HiddenAds ファミリ―に属する新たなアドウェア型トロイの木馬がGoogle Play上で多数発見されています。そのほか、不要なアドウェア Adware.HiddenAds.9.origin やスパイウェア型トロイの木馬 Android.Spy.567.origin と Android.Spy.568.origin がDr.Webのウイルスデータベースに追加されました。
7月の主な傾向
- ユーザーをスパイし、サイバー犯罪者から受け取ったコマンドを実行するAndroid向けバックドアの拡散
- Google Play上で新たなトロイの木馬や不要なアプリケーションを検出
- スパイウェア型トロイの木馬の拡散
7月のモバイル脅威
7月中旬、Doctor Webのウイルスアナリストは、OpenGL ES GUIのバージョンをチェックしてそのアップデートをダウンロードするアプリケーションOpenGL Pluginを装って拡散されていたトロイの木馬 Android.Backdoor.736.origin について調査を行いました。
このバックドアはユーザーをスパイし、連絡先や通話、デバイスの位置に関する情報を犯罪者に送信していました。また、デバイスからリモートサーバーにファイルをアップロードしたり、ソフトウェアをダウンロード・インストールしたりする機能も備えています。 Android.Backdoor.736.origin には次のような特徴があります。
- トロイの木馬の主要な悪意のあるコンポーネントは、プログラムリソースと同じディレクトリにある暗号化された補助ファイルに隠されている
- システムがルート権限を持っている場合、自動的にソフトウェアをインストールすることが可能
- C&Cサーバーから受け取ったシェルコマンドを実行することが可能
Android.Backdoor.736.origin に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds.1424
- 迷惑な広告を表示するよう設計されたトロイの木馬です。人気のアプリケーションを装って拡散されます。
- Android.RemoteCode.197.origin
- Android.RemoteCode.5564
- Android.RemoteCode.216.origin
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュール:
- Adware.Zeus.1
- Adware.Gexin.3.origin
- Adware.Patacore.253
- Adware.Altamob.1.origin
アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォーム:
- Tool.VirtualApk.1.origin
Google Play上の脅威
7月の初旬以降、 Android.HiddenAds ファミリーに属する新たなアドウェア型トロイの木馬が多数Google Play上で発見されています。これらマルウェアは無害なゲームや、カメラのフィルター、システムユーティリティ、目覚まし時計などの便利なアプリケーションを装って拡散され、820万人を超えるユーザーによってインストールされています。起動されると、これらトロイの木馬はメイン画面上のソフトウェアリストから自身のアイコンを隠し、デバイスの操作を邪魔するバナーを表示させます。
そのほか、 Adware.HiddenAds.9.origin と名付けられた不要な広告モジュールも発見されています。このアドウェアはコンパスソフトウェアやデスクトップ用の壁紙に組み込まれており、それらのアプリケーションが閉じられている場合でも広告を表示させます。
サイバースパイ活動
7月には、スパイウェア型トロイの木馬 Android.Spy.567.origin と Android.Spy.568.origin がDr.Webのウイルスデータベースに追加されました。 Android.Spy.567.origin はテキストメッセージや通話、カレンダー、連絡帳、デバイス上に保存されたファイルに関する情報をリモートサーバーに送信します。
Android.Spy.568.origin は詐欺メッセージを表示させ、Google Playコンポーネントをアップデートするようユーザーに促します。ユーザーが同意すると、Googleアカウントのログインページを模倣したフィッシングウィンドウが表示されます。
ウイルス開発者は「Sign in(サインイン)」のスペルを間違えており、そこから偽物であると見分けることができます。ユーザーが気付かずにログインしてしまった場合、現在のセッションのデータが Android.Spy.568.origin によって盗まれます。その結果、犯罪者がカレンダーエントリー、確認コード、電話番号、アカウントへのアクセスを復元するためのメールアドレスなどの機密情報へアクセスすることが可能になります。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。

ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
07.16 Doctor Web:Google Playから拡散される危険なAndroid向けバックドア
2019年7月16日
株式会社Doctor Web Pacific
Android.Backdoor.736.origin と名付けられたこのマルウェアは、OpenGL ES GUIのバージョンをチェックしてそのアップデートをダウンロードするアプリケーションOpenGL Pluginを装って拡散されています。
起動されると、 Android.Backdoor.736.origin は機密情報を収集したりファイルシステムを操作したりすることを可能にする重要なシステム権限を要求します。また、他のプログラムのインターフェースの前面にウィンドウを表示させるパーミッションも取得しようとします。
そのウィンドウには、OpenGL ES GUIのアップデートを「確認」するためのボタンがあります。ユーザーがボタンをタップすると、トロイの木馬はOpenGL ESの新しいバージョンを検索する動作をシミュレートしますが、これはユーザーを騙すためであり、実際には何も確認していません。
ユーザーがアプリケーションウィンドウを閉じると、 Android.Backdoor.736.origin はメイン画面のリストから自身のアイコンを削除し、代わりにショートカットを作成します。ショートカットを削除してもマルウェア自体に影響はないため、これによりユーザーがトロイの木馬を削除することが難しくなります。
Android.Backdoor.736.origin はバックグラウンドで常にアクティブな状態にあり、そのアイコンやショートカットからのみでなく、システム起動時やサイバー犯罪者からのコマンドに応じて Firebase Cloud Messaging 経由で自動的に起動することができます。このトロイの木馬の主な悪意のある機能は、プログラムリソースと同じディレクトリに置かれている暗号化された補助ファイルに含まれています。このファイルは Android.Backdoor.736.origin が起動する度に復号化され、メモリにロードされます。
バックドアは、犯罪者からのコマンドを受信し、収集したデータを送信するために、複数のC&Cサーバーと通信を行います。サイバー犯罪者は Firebase Cloud Messaging サービス経由でもトロイの木馬をコントロールすることができます。 Android.Backdoor.736.origin は以下の動作を実行することができます。
- 連絡先リストに含まれている連絡先に関する情報をサーバーに送信する
- テキストメッセージに関する情報をサーバーに送信する(調査の対象となったトロイの木馬のバージョンはこの権限を持っていませんでした)
- 通話履歴をサーバーに送信する
- デバイスの位置情報をサーバーに送信する
- DexClassLoadeクラスを使用してAPKファイルまたはDEXファイルをダウンロードして起動する
- インストールされているソフトウェアに関する情報をサーバーに送信する
- 指定された実行ファイルをダウンロードして起動する
- サーバーからファイルをダウンロードする
- 指定されたファイルをサーバーにアップロードする
- 指定されたディレクトリまたはメモリカード内のファイルに関する情報をサーバーに送信する
- シェルコマンドを実行する
- コマンドで指定されたアクティビティを起動する
- Androidアプリケーションをダウンロード・インストールする
- コマンドで指定された通知を表示する
- コマンドで指定されたパーミッションを要求する
- トロイの木馬に与えられたパーミッションのリストをサーバーに送信する
- 指定された期間中、デバイスがスリープモードにならないようにする
Android.Backdoor.736.origin はサーバーに送信するすべてのデータをAESで暗号化します。リクエストはそれぞれ、現在時刻に基づいて生成される固有のキーで保護されています。同じキーを使用してサーバーの応答が暗号化されます。
Android.Backdoor.736.origin は複数の方法でアプリケーションをインストールすることができます。
- システムがroot権限を持っている場合、自動的に(シェルコマンドを使用して)
- システムのパッケージマネージャを使用して(システムソフトウェアのみ)
- ユーザーがインストールを確認するための、システムの標準インストールダイアログを表示させることで
このバックドアはあらゆるコンテンツを含んだウィンドウや通知を表示させることができるため、スパイウェアとして動作するだけでなくフィッシングにも使用される可能性があり、深刻な脅威であると言えます。さらに、他の悪意のあるアプリケーションをダウンロード・インストールすることができ、任意のコードを実行する機能も備えています。たとえば、犯罪者から受け取ったコマンドに従って、ルート権限を取得するためのエクスプロイトをダウンロードして起動することができます。これにより、 Android.Backdoor.736.origin はユーザーの許可なしに他のプログラムをインストールすることができるようになります。
Doctor Webは、このトロイの木馬についてGoogle社に報告を行いました。本記事掲載時点で Android.Backdoor.736.origin はGoogle Playから削除されています。
Dr.Web for Androidは Android.Backdoor.736.origin とそのコンポーネントを検出・削除することができます。そのため、このトロイの木馬がDr.Webユーザーに危害を与えることはありません。
Android.Backdoor.736.originの詳細(英語)
#Android, #backdoor, #Google_Play, #spyware

ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
07.05 2019年6月のモバイルマルウェアレビュー
2019年7月5日
株式会社Doctor Web Pacific
6月中旬、Doctor WebのウイルスアナリストはGoogle Play上でマルウェア Android.FakeApp.174 を発見しました。このマルウェアはWebサイトを開き、そこでAndroidデバイスユーザーをスパム通知に登録させます。また、6月には広告を表示させる Android.HiddenAds ファミリーに属する新たなトロイの木馬や他の悪意のあるアプリケーションをダウンロードするトロイの木馬 Android.DownLoader 、そしてAndroidを狙ったその他の脅威も発見されています。
6月の主な傾向
- 新たな悪意のあるアプリケーションや不要なアプリケーションがGoogle Play上に登場
6月のモバイル脅威
6月17日、Doctor Webは疑わしいサイトを開くトロイの木馬 Android.FakeApp.174 について記事を公開しました。このトロイの木馬はAndroidデバイスのユーザーを騙して通知を登録させ、同意したユーザーに対して大量のスパム通知を送信します。これらの通知は、デバイス上にインストールされているアプリケーションの本物の通知のように見えるようになっています。
通知をクリックすると、ユーザーは疑わしいコンテンツを含むWebサイトへとリダイレクトされます。それらの多くは詐欺サイトです。
Android.FakeApp.174 の特徴:
- 有名なブランドの公式ソフトウェアを装ってGoogle Playから拡散されている
- トロイの木馬によって開かれたWebサイトからの通知は、トロイの木馬が削除されても止まることはない
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds.1424
- 迷惑な広告を表示するよう設計されたトロイの木馬です。人気のアプリケーションを装って拡散されます。
- Android.RemoteCode.197.origin
- Android.RemoteCode.4411
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
- Android.Triada.3670
- 様々な悪意のある機能を実行するマルチコンポーネントトロイの木馬です。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュール:
- Adware.Zeus.1
- Adware.Jiubang.2
- Adware.AdPush.33.origin
- Adware.Toofan.1.origin
アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォーム:
- Tool.VirtualApk.1.origin
新しい脅威:
- Adware.Patacore.253
- Androidデバイス上にバナー広告を表示させる不要なモジュールのファミリーに属する脅威です。
Google Play上の脅威
Google Play上では Android.FakeApp.174 のほかにも悪意のあるプログラムや不要なプログラムが発見されています。それらの中には同じファミリーに属するトロイの木馬である Android.FakeApp.151 と Android.FakeApp.173 が含まれていました。これらトロイの木馬は、オンライン調査に参加することで報酬を得ることができるプログラムを装って拡散されていました。起動されるとトロイの木馬は詐欺サイトを開き、ユーザーはそこでいくつかの質問に回答するよう求められます。その後、「報酬」を得るために税金や手数料を支払うよう要求されますが、お金を支払ったユーザーが報酬を受け取ることはありません。
また、新たな Android.HiddenAds トロイの木馬もいくつかウイルスアナリストによって発見されています。これらトロイの木馬はゲームやユーティリティなどの便利なアプリケーションを装って拡散され、338万人を超えるユーザーによってインストールされていました。
このマルウェアはインストールされて起動されると自身のアイコンを隠し、広告を表示させます。
Google Play上で発見されたまた別のトロイの木馬は Android.DownLoader.3200 と名付けられました。このトロイの木馬は LETSCOM スマートブレスレット用のソフトウェアに組み込まれ、5万人を超えるユーザーによってインストールされていました。
このアプリケーションの最初のバージョンは無害なものでしたが、その後のバージョン1.1.0と1.1.4でトロイの木馬の機能が追加されています。 Android.DownLoader.3200 はモバイルデバイス上に別のトロイの木馬をダウンロードしていました。
Android.DownLoader.681.origin と名付けられたまた別のダウンローダも Android.DownLoader.3200 と同様、無害なプログラムとして(この場合はオーディオプレーヤーとして)拡散されていました。 Android.DownLoader.681.origin は悪意のあるアプリケーションをダウンロードし、それらをインストールしようとします。
6月末、広告を表示させる不要なプログラムモジュール Adware.OneOceans.2.origin がDr.Webのウイルスデータベースに追加されました。このモジュールはゲーム「Toy Blast: Cube Smash」に組み込まれ、10万人を超えるユーザーによってダウンロードされていました。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。

ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
06.17 Doctor Web:Androidユーザーを脅かす偽のプッシュ通知
2019年6月17日
株式会社Doctor Web Pacific
Webプッシュ通知を使用することで、Webサイトはブラウザでそのページが開かれていない場合でもユーザーが同意すれば通知を送信することが可能になります。無害なWebサイトであれば、この機能は有益で便利なものになります。たとえば、ソーシャルメディアはユーザーに新しいメッセージについて通知することができ、ニュースサイトは新しい記事について知らせることができます。一方で、ハッキングされたサイトや悪意のあるサイトからの広告や偽の通知を拡散させるために、サイバー犯罪者や悪質な広告主によってこの機能が悪用される可能性もはらんでいます。
プッシュ通知はモバイルデバイスのほか、デスクトップパソコンやートパソコンのブラウザでもサポートされています。通常、被害者は特別に作成されたリンクや広告バナーをクリックすることで危険なスパムサイトへ飛ばされます。 Android.FakeApp.174 は、犯罪者がそのようなWebサイトの訪問者数を増加させ、スマートフォンやタブレットのユーザーにプッシュ通知を登録させることを可能にする最初のトロイの木馬の1つです。
Android.FakeApp.174 は便利なプログラム(有名なブランドの公式ソフトウェアなど)を装って拡散されています。6月上旬、Google Play上でこのトロイの木馬の2つの亜種がDoctor Webのマルウェアアナリストによって発見されました。報告を受けたGoogle社によってマルウェアは削除されましたが、すでに1100人を超えるユーザーがそれらをダウンロードしていました。
起動されると、トロイの木馬はその設定内で指定されているWebサイトをGoogle Chromeで開きます。そのページからさまざまなアフィリエイトプログラムのページへと何度かリダイレクトを実行し、それらすべてのページでユーザーに通知の許可を要求します。その際、ユーザーに対して、認証のため(ユーザーがロボットでないことを確認する、など)であると説明したり、またはただ単にダイアログ内のどのボタンをクリックするかを示したりすることで、疑いを抱かれないようにしています。こうして、トロイの木馬は登録数を増やしていきます。以下の画像は通知の許可を求める画面の例です。
登録が完了すると、Webサイトはユーザーに対して疑わしい内容の通知を大量に送信しはじめます。これらの通知はブラウザが閉じられ、トロイの木馬がすでに削除されている場合でもOSのステータスバーに表示されます。その内容は、キャッシュボーナスや送金、ソーシャルメディア上の新しいメッセージに関する偽の通知から、星占い、カジノ、商品やサービスの広告、さらにはさまざまな「ニュース」まで、あらゆるものがあります。
それらの多くは実際のオンラインサービスやデバイス上にインストールされているアプリケーションの本物の通知のように見えます。たとえば、銀行、出会い系サイト、ニュースサイト、ソーシャルネットワークのロゴや目立つバナーが表示されます。このようなスパムメッセージが、場合によっては1日に数十通もAndroidデバイスユーザーに対して送信されます。
それらの通知には送信元となるWebサイトのアドレスも表示されていますが、警戒していないユーザーは気が付かなかったり、気に留めないこともあります。以下の画像は偽の通知の例です。
通知をクリックすると、ユーザーは疑わしいコンテンツを含むWebサイトへとリダイレクトされます。そのようなサイトには、カジノ、ベッティングショップ、さまざまなGoogle Playアプリケーション、割引やクーポン、偽のオンライン調査や賞品の抽選、パートナーリンクのアグリゲーター、そしてユーザーの住んでいる国によって異なるその他のオンラインリソースが含まれます。以下はそのようなサイトの例です。
これらリソースの多くは金銭を盗むための良く知られた詐欺スキームに使用されているものですが、今後、機密情報を盗むための攻撃に使用される可能性もあります。たとえば、銀行やソーシャルネットワークからのものを装った「重要な」通知をブラウザ経由で送信することで、ユーザーに偽の通知を本物であると思わせることができます。通知をタップしてしまったユーザーはフィッシングサイトへリダイレクトされ、そこで名前や認証情報、メールアドレス、クレジットカード番号、その他の機密情報を入力するよう求められます。
Doctor Webのエキスパートは、サイバー犯罪者は疑わしいサービスを宣伝するためにこの手法をより積極的に使用するようになるものとみています。モバイルユーザーはWebサイトを訪問する際には注意を欠かさず、見慣れないサイトや疑わしいサイトでは通知を登録しないようにしてください。すでにスパム通知を登録してしまっている場合は、以下の手順を実行してください。
- Chromeの設定を開き、[サイトの設定]で[通知]を選択します。
- 通知が有効になっているWebサイトのリストから該当するアドレスを見つけ、それをタップして、[消去してリセット]を選択します。
Dr.Web for Androidは Android.FakeApp.174 の既知の亜種をすべて検出し、削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
06.04 2019年5月のモバイルマルウェアレビュー
2019年6月4日
株式会社Doctor Web Pacific
5月、Androidデバイスは再び、Google Playから拡散される悪意のあるプログラムの標的となりました。それら悪意のあるプログラムにはアドウェア型トロイの木馬 Android.HiddenAds やテキストメッセージを横取りするスパイウェア Android.SmsSpy が含まれていました。
5月の主な傾向
- Google Playから拡散される悪意のあるアプリケーション
5月のモバイル脅威
5月に検出されたマルウェアに、 Android.SmsSpy ファミリーに属するスパイウェア型トロイの木馬 Android.SmsSpy.10206 と Android.SmsSpy.10263 があります。これらトロイの木馬はインターネットバンキング用のソフトウェアを装ってGoogle Playから拡散されていました。
インストールされて起動されると、これら悪意のあるプログラムは自身をデフォルトのSMSマネージャーとして設定しようと試み、ユーザーに権限を要求します。権限を取得すると、 Android.SmsSpy.10206 と Android.SmsSpy.10263 は受信するすべてのメッセージを横取りし、それらを犯罪者のサーバーに転送します。
このマルウェアには次のような特徴があります:
- スペイン語圏のユーザーを対象にしている
- オープンソースプログラムの SMSdroid を基に作成され、そこにトロイの木馬の機能が追加されている
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.RemoteCode.4411
- Android.RemoteCode.197.origin
- 任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。
- Android.HiddenAds.261.origin
- Android.HiddenAds.1102
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Adware.Zeus.1
- Adware.Jiubang.2
- Adware.AdPush.33.origin
- Adware.Toofan.1.origin
- Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる不要なプログラムモジュールです。
- Tool.VirtualApk.1.origin
- アプリケーションがAPKファイルをインストールせずに実行することを可能にする、潜在的に危険なソフトウェアプラットフォームです。
アドウェア型トロイの木馬
5月上旬、Doctor Webのアナリストはオーディオプレーヤーを装って拡散されていたトロイの木馬 Android.HiddenAds.1396 をGoogle Play上で発見しました。
この悪意のあるプログラムは実際に音楽を再生しますが、初回起動後にアイコンを隠してしまうため、ユーザーはその後プログラムを起動することができなくなります。 Android.HiddenAds.1396 は迷惑な広告バナーを表示させ、ユーザーが感染したモバイルデバイスを操作することを困難にします。
新たな悪意のあるアプリケーションや不要なアプリケーションは依然としてGoogle Play上に登場し続けています。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。

ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
05.07 2019年4月のモバイルマルウェアレビュー
2019年5月7日
株式会社Doctor Web Pacific
4月、Doctor WebはAndroid OSの複数の脆弱性を悪用するトロイの木馬 Android.InfectionAds.1 について報告を行いました。これらの脆弱性は、トロイの木馬がプログラムを感染させ、ユーザーの操作なしにソフトウェアをインストール/アンインストールすることを可能にします。また、日本の金融機関から金銭を盗むよう設計されたバンキング型トロイの木馬 Android.Banker.180.origin の新たな亜種がウイルスアナリストによって発見されました。Google Playから拡散されていた悪意のあるプログラムも発見されています。モバイルデバイス上にバンキング型トロイの木馬をダウンロードするダウンローダ型トロイの木馬 Android.DownLoader、 Android.Click ファミリーに属するクリッカー、インスタグラムユーザーのログインとパスワードを盗む Android.PWS.Instagram です。その他のマルウェアもDr.Webのウイルスデータベースに追加されています。
4月の主な傾向
- Google Play上で新たな悪意のあるアプリケーションを検出
- バンキング型トロイの木馬の拡散
4月のモバイル脅威
4月の初め、Doctor Webは危険なトロイの木馬 Android.InfectionAds.1 について報告を行いました。犯罪者はこのトロイの木馬を無害なソフトウェアに埋め込み、人気のサードパーティAndroidアプリストアから配信していました。このトロイの木馬はAPKファイルを感染させるためにAndroid OSのクリティカルな脆弱性 CVE-2017-13156 を、プログラムをインストール/アンインストールするために同じくクリティカルな脆弱性である CVE-2017-13315 を悪用してします。 Android.InfectionAds.1 は迷惑なバナー広告を表示させることもでき、これにより、ユーザーによるデバイスの操作を困難にします。このトロイの木馬に関する詳細についてはウイルスライブラリをご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds.1102
- Android.HiddenAds.261.origin
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.RemoteCode.4411
- 任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。
- Android.DownLoader.812.origin
- 別の悪意のあるプログラムをダウンロードするトロイの木馬です。
- Adware.Zeus.1
- Adware.AdPush.33.origin
- Adware.Toofan.1.origin
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
- Tool.VirtualApk.1.origin
- アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。
Android版バンキング型トロイの木馬
4月を通して、バンキング型トロイの木馬がAndroidデバイスユーザーを脅かしました。下旬には、マルウェア Android.Banker.180.origin の新たな亜種がDoctor Webのウイルスアナリストによって発見されています。これらの亜種は日本のユーザーをターゲットにした荷物追跡アプリ(「佐川急便」アプリなど)を装って拡散されていました。インストールされると、これらトロイの木馬は自身のアイコンを削除し、ユーザーから姿を隠します。
これら Android.Banker.180.origin の亜種は、ロシアのソーシャルネットワーク Vkontakte 内に特別に作成されたページを介してコントロールされています。そのページでは、「activities(アクティビティ)」フィールドでトロイの木馬のC&Cサーバーのうちの1つの暗号化されたアドレスが指定されています。トロイの木馬は正規表現を使用してこのフィールドを検索し、アドレスを復号化してサーバーに接続します。
これらのトロイの木馬の亜種は、ハッカーから受け取ったコマンドに応じてSMSを傍受または送信し、フィッシングウィンドウを表示し、通話を発信し、デバイスの内蔵マイクを使用して周囲の音声を聞くことができます。また、スマートフォンやタブレットを管理する機能も備えており、Wi-Fiをオンにしたり、モバイルネットワーク経由でインターネットに接続したり、画面をブロックしたりすることができます。
そのほか、 Android.DownLoader ファミリーに属する Android.DownLoader.4303 などの新たなダウンローダがモバイルデバイス上にAndroid版バンカーをダウンロードしていました。それらは金融機関のアプリケーションを装って拡散されていました。
Google Play上のトロイの木馬
ダウンローダのほか、 Android.Click.303.origin や Android.Click.304.origin などのトロイの木馬がGoogle Play上で検出されています。これらのトロイの木馬はゲームやテレビ番組を見るためのプログラムなど、無害なアプリケーションを装って拡散されていました。Doctor Webのウイルスアナリストによって、これらトロイの木馬36個が検出されています。15万1,000人を超えるユーザーがそれらをインストールしています。
これら悪意のあるソフトウェアは複数の WebView で隠れたアクティビティを開きます。それらの1つにはコマンドを取得するためのWebサイトがロードされ、その他の WebView はハッカーがユーザーのアクションを模倣するための様々なJavaスクリプトや指定されたサイトをロードするために使用されます。ハッカーはそれらのサイト上でリンクやバナー広告をクリックすることによりクリック数を増加させます。また、被害者の携帯電話会社が Wap-Click テクノロジーをサポートしている場合は、特別なボタンをクリックすることでユーザーを有料サービスに登録させることもできます。これらトロイの木馬は自身のアイコンをOSのメイン画面から隠すことで、その削除を困難にします。
4月下旬、 Android.PWS.Instagram.4 と Android.PWS.Instagram.5 がDr.Webのウイルスデータベースに追加されました。これらトロイの木馬は、いいねとフォロワーを増やしたり、アカウントのセキュリティを強化したりするためのものなど、インスタグラムのユーザーにとって便利なプログラムを装って拡散されていました。起動されると、トロイの木馬はログインとパスワードを入力するようユーザーに要求し、それらのデータを犯罪者のサーバーに送信します。
その他の脅威
トロイの木馬 Android.FakeApp.2.origin もまた、4月にAndroidスマートフォンやタブレットのユーザーを脅かした悪意のあるアプリの1つです。このトロイの木馬はインドのサービスプロバイダーJioのユーザーに対して25GBの無料インターネット通信を提供するというプログラムに隠されていました。
感染数を増やすため、このトロイの木馬は感染させたデバイスのすべての連絡先に、トロイの木馬のコピーのダウンロードページへのリンクを含んだSMSを送信していました。 Android.FakeApp.2.origin の主な目的はバナー広告を表示させることです。
トロイの木馬は悪意のあるサイトのみでなく、公式のGoogle Playストアからも拡散され、Androidデバイスのユーザーを脅かしています。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。

Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
04.18 Doctor Web:Androidのクリティカルな脆弱性を悪用してソフトウェアを 感染させ、インストールするトロイの木馬Android.InfectionAds
2019年4月18日
株式会社Doctor Web Pacific
犯罪者はこのトロイの木馬を無害なソフトウェアに埋め込み、改変したコピーを Nine Store や Apkpure などの人気のサードパーティAndroidアプリストアから配信していました。HDカメラ、ORG 2018_19\Tabla Piano Guitar Robab Guitar、Euro Farming Simulator 2018、Touch on Girlsなどのゲームやソフトウェアで Android.InfectionAds.1 が検出されています。それらの中には少なくとも数千人のモバイルデバイスユーザーによってインストールされているものもあり、感染しているアプリケーションと被害を受けたユーザーの数はさらに多い可能性があります。
ユーザーによって起動されると、トロイの木馬を含んだプログラムはファイルリソースから補助モジュールを抽出し、それらを復号化して起動させます。そのうちの1つは迷惑な広告を表示するよう設計されており、その他のモジュールはソフトウェアを感染させ、自動的にアプリケーションをインストールします。
Android.InfectionAds.1 はシステムインターフェースや動作中のアプリケーションの前面に広告バナーを表示させることでデバイスの操作を困難にします。また、C6Cサーバーからのコマンドに応じて、多くのプログラムやゲームで使用されているAdmobやFacebook、Mopubなどの広告プラットフォームのコードを改変することもできます。トロイの木馬はそれら広告の識別子を自身の識別子に置き換えることで、感染したアプリケーション内に広告を表示することで得られるすべての収益が犯罪者の手に渡るようにします。
Android.InfectionAds.1 は、Androidのクリティカルな脆弱性 CVE-2017-13315 を悪用しています。この脆弱性はトロイの木馬がシステムアクティビティを開始することを可能にするもので、その結果、トロイの木馬はユーザーに気づかれることなくプログラムを自動的にインストール/アンインストールすることができるようになります。 Android.InfectionAds.1 は、この脆弱性が悪用される可能性を証明するために中国のリサーチャーによって書かれたPoC(Proof of Concept:概念実証)コードを基に作成されています。
CVE-2017-13315は EvilParcel と呼ばれる脆弱性に分類されます。これは、アプリケーションとオペレーティングシステム間でやり取りされるデータの改変を可能にしてしまうエラーが複数のシステムコンポーネントに含まれているということを意味します。やり取りされるデータのフラグメントが特別に生成され、その最後の値は元の値と異なるものになります。こうして、プログラムはOSによるチェックを回避し、より高い権限を取得して、これまで不可能だった動作を実行します。現在のところ、この種類の7つの脆弱性が知られており、その数は今後増えていくものと考えられます。
EvilParcelを利用して、 Android.InfectionAds.1 はトロイの木馬のすべてのコンポーネントが含まれた隠しAPKファイルをインストールします。同様に、その他のソフトウェアやマルウェア、C&Cサーバーからダウンロードした自身のアップデートをインストールすることができます。たとえば、Doctor Webによる分析中には、自身の亜種の1つであるマルウェア Android.InfectionAds.4 をインストールしていました。
以下の画像は、トロイの木馬がユーザーの許可なしにどのようにアプリケーションをインストールするかを示した一例です。
EvilParcelのほかに、このトロイの木馬は Janus(CVE-2017-13156) として知られるまた別のAndroidの脆弱性も悪用します。この脆弱性は、既にインストールされているアプリケーションにトロイの木馬のコピーを埋め込むことでそれらを感染させるために使用されます。 Android.InfectionAds.1 はC&Cサーバーに接続し、感染させるプログラムのリストを取得します。リストの内容は亜種によって異なる場合があります。リモートサーバーへの接続に失敗した場合は、初期設定で指定されているアプリケーションを感染させます。以下は、Doctor Webによって調査された Android.InfectionAds.1 のバージョンの1つに含まれるリストの例です。
- com.whatsapp (WhatsApp Messenger);
- com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
- com.mxtech.videoplayer.ad (MX Player);
- com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
- com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
- com.jiochat.jiochatapp (JioChat: HD Video Call);
- com.jio.join (Jio4GVoice);
- com.good.gamecollection;
- com.opera.mini.native (Opera Mini - fast web browser);
- in.startv.hotstar (Hotstar);
- com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
- com.domobile.applock (AppLock);
- com.touchtype.swiftkey (SwiftKey Keyboard);
- com.flipkart.android (Flipkart Online Shopping App);
- cn.xender (Share Music & Transfer Files – Xender);
- com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
- com.truecaller (Truecaller: Caller ID, spam blocking & call record);
- com.ludo.king (Ludo King™).
ソフトウェアを感染させるために、このトロイの木馬はデジタル署名を変更せずに自身のコンポーネントをAPKファイルに埋め込みます。次に、改変されたバージョンのアプリをオリジナルの代わりにインストールします。脆弱性 Janusによって、感染したファイルのデジタル署名は変わらず元のままとなるため、プログラムはそれらのアップデートとしてインストールされます。同時に、脆弱性 EvilParcel が、ユーザーの操作なしにインストールを行うことを可能にします。その結果、感染したソフトウェアは正常な動作を続けますが、その中には Android.InfectionAds.1 の機能するコピーが含まれています。アプリを感染させると、トロイの木馬はそれらのデータにアクセスします。たとえば、 WhatsAppを感染させた場合、トロイの木馬はユーザーのすべてのメッセージにアクセスし、ブラウザを感染させた場合は保存されたログインとパスワードを入手します。
このトロイの木馬を削除し、感染したプログラムのセキュリティを回復させる唯一の方法は、トロイの木馬を含んでいるアプリケーションを削除し、Google Playなどの信頼できるソースから正常なバージョンを再インストールすることです。Dr.Web Security Space for Androidのアップデートされたバージョンでは脆弱性 EvilParcel を検出することができます(この機能は Security Auditor に含まれています)。新しいディストリビューションファイルはDoctor Webの公式サイトからダウンロードすることができます。まもなくGoogle Playからも提供を開始する予定です。Android向けのDr. Web製品はすべて、 Android.InfectionAds.1 の既知の亜種を検出・駆除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
[Android.InfectionAds.1の詳細(英語)]
#Android #trojan #malware
04.03 2019年3月のモバイルマルウェアレビュー
2019年4月3日
株式会社Doctor Web Pacific
3月、Doctor Webは、新しいモジュールをサードパーティサーバーからダウンロードすることのできるAndroid用アプリケーション「UC Browser」に潜む脆弱性について報告しました。この機能はAndroidスマートフォンやタブレットを感染させる目的でサイバー犯罪者によって利用される可能性があります。また、キャッシュカードのみでなくモバイルデバイスのアカウントからも金銭を盗むトロイの木馬 Flexnet についても情報を公開しています。 Google Play上では、3月を通して悪意のあるアプリケーションが検出されています。
3月の主な傾向
- UC Browserに潜む脆弱性を発見
- バンキング型トロイの木馬の拡散
- Google Play上で新たな悪意のあるプログラムを検出
3月のモバイル脅威
3月末、Doctor WebはAndroid用アプリ「UC Browser」に潜む脆弱性を発見し、その情報を公開しました。このプログラムはGoogle Playサーバーを迂回して追加のプラグインをダウンロードしていました。これはGoogleのポリシーに違反するものであり、本来のファイルではなく悪意のあるファイルをブラウザにダウンロードして起動させる目的でサイバー犯罪者に利用される可能性があります。この脅威は5億人を超えるモバイルユーザーにダウンロードされています。この脆弱性に関する詳細(英語)はこちらをご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- Android.Backdoor.2080
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.RemoteCode.197.origin
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
- Android.HiddenAds.659
- Android.HiddenAds.261.origin
- 人気のあるアプリケーションを装って別の悪意のあるプログラムにより拡散されるアドウェア型トロイの木馬です。その際、密かにシステムディレクトリ内にインストールされる場合があります。
- Adware.Zeus.1
- Adware.Jiubang.2
- Adware.Toofan.1.origin
- Adware.Gexin.3.origin
- Androidアプリケーションに組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示するよう設計されています。
- Tool.VirtualApk.1.origin
- アプリケーションがAPKファイルをインストールせずに実行することを可能にする、潜在的に危険なソフトウェアプラットフォームです。
Android版バンキング型トロイの木馬
サイバー犯罪者はマルウェア Android.ZBot のソースコードを基にしたバンキング型トロイの木馬を拡散し続けています。そのうちの1つがトロイの木馬 Flexnet です。このマルウェアはキャッシュカードのみでなくモバイルデバイスのアカウントからも金銭を盗み、犯罪者は様々なサービスへの支払いにそれを使用しています。例えば、サイバー犯罪者はゲーム内アカウントの残高を補充したり、ホスティングサービスに支払いを行ったり、自分の携帯料金を支払ったりすることができます。この脅威に関する詳細はこちらの記事をご覧ください。
Google Play上の脅威
3月にも、Google Play上で悪意のあるプログラムの発見が相次いでいます。その中には偽のWebサイトを表示させる Android.FakeApp.152 と Android.FakeApp.152 が含まれていました。それらのサイトは多額の報酬を受け取ることができる調査に参加するようユーザーに促すものです。報酬を受け取るために、ユーザーは手数料を払うか、または身元を確認するためのテスト送金を行うよう指示されます。ユーザーが同意すると犯罪者にお金が振り込まれ、その後ユーザーが報酬を受け取ることはありません。
また、 Android.HiddenAds.1133、 Android.HiddenAds.1134、 Android.HiddenAds.1052、 Android.HiddenAds.379.origin などの、 Android.HiddenAds ファミリーに属するトロイの木馬も検出されています。Doctor Webでは同様のマルウェアについて2月にも記事を掲載しています。これらトロイの木馬は画像や動画のエディター、カメラのフィルター、フラッシュライト、スポーツソフトウェアなどの便利なアプリケーションを装って拡散されています。
インストールされて起動されると、これらトロイの木馬は自身のアイコンを隠し、バナーや動画の広告を含んだウィンドウを他のプログラムやシステムインターフェースの前面に絶えず表示させることで、ユーザーが感染したデバイスを操作することを困難にします。
トロイの木馬は悪意のあるサイトのみでなく、公式のGoogle Playストアからも拡散され、Androidデバイスのユーザーを脅かしています。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
03.27 危険にさらされる何百万ものAndroid用UC Browserユーザー
2019年3月27日
株式会社Doctor Web Pacific
現時点で、UC Browserは5億人を超えるGoogle Playユーザーによってダウンロードされています。このソフトウェアをインストールしたユーザーは誰でも危険にさらされる可能性があります。Doctor Webはこの度、UC Browserにはインターネットから補助コンポーネントをダウンロードする隠れた機能が存在するということを発見しました。このブラウザはC&Cサーバーからコマンドを受け取り、新しいライブラリやモジュールをダウンロードします。これらのライブラリやモジュールは新しい機能を追加したりフトウェアを更新したりすることができます。
たとえば、Doctor Webによる調査中に、UC Browserは実行可能なLinuxライブラリをリモートサーバーからダウンロードしています。このライブラリはMS OfficeドキュメントやPDFファイルで使用できるよう設計されており、悪意のあるものではありませんが、元々ブラウザには含まれていなかったものです。ダウンロード後、プログラムはライブラリをディレクトリに保存し、起動させます。このように、このアプリケーションは実際にGoogle Playサーバーを迂回してコードを受け取り、実行することが可能です。これはGoogle Playストアから配信されるソフトウェアに適用されるGoogleのルールに違反するものです。現行のポリシーでは、Google Playからダウンロードされるアプリケーションは、そのコードを変更してはならず、また、サードパーティソースからいかなるソフトウェアコンポーネントもダウンロードしてはならないとされています。これらのルールは悪意のあるプラグインをダウンロード・起動するモジュラー型トロイの木馬の拡散を防ぐためのもので、そのようなトロイの木馬にはDoctor Webによってそれぞれ2018年の1月と4月に報告された Android.RemoteCode.127.origin や Android.RemoteCode.152.origin があります。
少なくとも2016年から、UC Browserには潜在的に危険な更新機能が備わっています。このアプリケーションはトロイの木馬や不要なプログラムを拡散しているわけではありませんが、新しい未検証モジュールをロードして起動することのできる機能は脅威となる危険性をはらんでいます。サイバー犯罪者がこのブラウザの開発者のサーバーにアクセスし、更新機能を利用して何億ものAndroidデバイスを感染させることがないとは言い切れきません。
UC Browserの脆弱な機能は中間者攻撃(MITM)の実行に利用される可能性があります。新しいプラグインをダウンロードするために、このブラウザはC&Cサーバーにリクエストを送信し、応答としてファイルへのリンクを受け取ります。サーバーとの通信は安全でないチャンネル(暗号化されたHTTPSではなくHTTPプロトコル)を介して行われるため、サイバー犯罪者はこのリクエストを横取りすることができます。犯罪者はコマンドを別のアドレスを含むものに置き換え、その結果、ブラウザはC&Cサーバーではなく悪意のあるページからモジュールをダウンロードしてしまいます。UC Browserは未署名のプラグインを使用しているため、悪意のあるモジュールは検証なしに起動されます。
以下は、Doctor Webのウイルスアナリストによってモデル化された、そのような攻撃の例です。動画では、被害者となるユーザーがUC Browser経由でPDFドキュメントをダウンロードし、それを表示しようとしています。ファイルを開くために、ブラウザは該当するプラグインをC&Cサーバーからダウンロードしようとします。ところが、MITMによる置き換えのために、ブラウザは別のライブラリをダウンロードし、起動してしまいます。続けて、このライブラリが「PWNED!」というメッセージを作成します。
このように、MITM攻撃はサイバー犯罪者がUC Browserを利用して、幅広いアクションを実行する悪意のあるプラグインを拡散させることを可能にします。たとえば、フィッシングメッセージを表示させることでユーザー名やパスワード、クレジットカードの詳細やその他の個人情報を盗むことができます。また、トロイの木馬モジュールは保護されたブラウザファイルにアクセスし、プログラムディレクトリ内に保存されたパスワードを盗むことができるようになります。
この脆弱性に関する詳細はこちらをご覧ください。
このブラウザの「弟分」的なUC Browser Miniアプリケーションもまた、Google Playサーバーを迂回して未検証コンポーネントをダウンロードすることができます。この機能は2017年11月から実装されており、現在までにUC Browser Miniをダウンロードしている1億人のGoogle Playユーザーを危険にさらしています。ただし、UC Browserの場合と異なり、UC Browser Miniでは前述のMITM攻撃を実行することはできません。
Doctor Webでは、UC BrowserとUC Browser Miniに酷む危険な機能について両ブラウザの開発者に連絡を取りましたが、回答はもらえませんでした。そこで、この問題についてGoogle社に報告を行いましたが、本記事掲載時点でどちらのブラウザも入手可能な状態であり、Google Playサーバーを迂回して新しいコンポーネントをダウンロードできる機能もそのままとなっています。Androidデバイスユーザーの方は、これらのプログラムを使用し続けるか、あるいは一旦削除して、潜在的脆弱性が修正されたアップデートがリリースされるまで待つかをご自身で決定する必要があります。
Doctor Webでは、今後も状況について引き続き監視を行っていきます。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億4000万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
03.22 Doctor Web:コンピューターゲームを利用してユーザーから金銭を盗む、 Android版バンキング型トロイの木馬Flexnet
2019年3月22日
株式会社Doctor Web Pacific
Flexnetは、2015年にDoctor Webによる調査が行われた「GM Bot」トロイの木馬を元に作成されています。この悪意のあるアプリケーションのソースコードは2016年に公開され、その後間もなくして Flexnet の最初のバージョンが登場しました。このトロイの木馬を使用したAndroidモバイルデバイスに対する攻撃は今日に至るまで続いています。
トロイの木馬 Flexnet はDrug Vokrug(デート・チャットアプリ)、GTA V、インスタグラムや VKontakte のアカウントプロモーション用ツール、その他のソフトウェアを装い、スパムメールによって拡散されています。メッセージは、リンクを辿りプログラムやゲームをダウンロードするようユーザーに促すものとなっています。
図1. トロイの木馬によって使用されるソフトウェアアイコンの例
起動されると、このトロイの木馬は標準ダイアログボックスを表示させ、管理者権限を要求します。ユーザーが権限を与えてしまうと、トロイの木馬は偽のエラーメッセージを表示させ、自身のアイコンをホーム画面から削除します。こうすることでユーザーに気づかれないよう身を隠し、削除されるのを防ぎます。
図2~3. 管理者権限の要求と偽のエラーメッセージ
今日のAndroid版バンキング型トロイの木馬に比べると、 Flexnet の持つ機能はごく限られたものとなっています。このトロイの木馬はテキストメッセージを横取りし、USSD要求を実行することができますが、これらはさまざまな詐欺手法を使用して金銭を盗むのに十分な機能です。
そのような手法の1つが、SMSを利用して、人気のコンピューターゲームのゲーム内アカウントに入金補充させるというものです。まず、トロイの木馬はユーザーのキャッシュカード残高を確認するために、モバイルバンキングサービスシステムにSMSを送信します。そして、残高の記載された返信メッセージを横取りし、その情報をサイバー犯罪者に送信します。次に、犯罪者はゲームのアカウント残高を補充するようユーザーに要求しますが、その際、ユーザーの電話番号と送金額を提示します。ユーザーが確認コードの含まれたSMSメッセージを受け取ると、トロイの木馬はそれを横取りし、内容をサイバー犯罪者に送信します。そして最後に、その確認コードを送信して送金を確定するよう指示するコマンドが犯罪者からトロイの木馬に送られます。
以下は、この手法を用いてどのように金銭を盗むのかを示した例です。
図4. Wargamingアカウントの残高補充。トロイの木馬は銀行のビリングシステムからのメッセージを横取りし、サイバー犯罪者からのコマンドに従って、2,475ルーブルの送金を確定する確認コードを含んだ返信を送る。
その他の詐欺行為も似たような方法で行われています。たとえば、サイバー犯罪者は被害者のモバイルアカウントのお金をホスティングサービスの支払いに使用することができます。この場合、トロイの木馬は必要なパラメータを含んだSMSメッセージを標的となる電話番号に対して送信します。以下はその例です。
図5. トロイの木馬は、 jino.ru ホスティングサービスに送金金額(299ルーブルと1,000ルーブル)とアカウント名をテキストで送り、サイバー犯罪者の残高を補充。
被害者の口座に十分な残高がない場合でも、犯罪者は携帯電話会社の提供するクレジットによる支払方法を利用して金銭を盗むことが可能です。その場合も、トロイの木馬は必要なパラメータを含んだSMSメッセージを送信します。疑わしいメッセージはすべてトロイの木馬によって隠されてしまうため、感染したデバイスのユーザーはお金を盗まれたことにしばらくの間気が付きません。
図6. 犯罪者はMy.comサービスの支払いを試みるが、被害者のモバイルクレジットの残高が足りない。犯罪者はクレジットによる支払方法を使用して送金を成功させるよう指示するコマンドをトロイの木馬に送信。デバイスのユーザーには借金が残る。
さらに、このトロイの木馬は被害者のキャッシュカードからサイバー犯罪者の口座に送金を行うことができます。ただし、金融機関は特別なアルゴリズムを使用して疑わしい取引を追跡しているため、そのような送金はブロックされる可能性が極めて高いといえます。一方で、前述の手法では、犯罪者は比較的少額の金銭を長期にわたって気づかれずに盗むことが可能です。
Flexnetのもう1つの特徴は機密情報を盗むというものです。サイバー犯罪者はソーシャルメディアやオンラインストア、携帯電話会社のWebサイト、その他のオンラインサービスに登録されているユーザーのアカウントへのアクセスを取得することができます。まず、被害者の携帯電話番号を入手した犯罪者は、そのアカウントへのログインを試みます。次に、サービスから送られてくるワンタイム確認コードをトロイの木馬が横取りし、犯罪者に送信します。
図7. トロイの木馬によって横取りされた、さまざまなサービスのワンタイムアクセスコードを含んだテキスト
感染したデバイスのユーザーの電話番号が、標的となるサービスに登録されていなかった場合でも、サイバー犯罪者は新しいアカウントの登録にそれらの番号を使用することができます。新しく作成された、侵害されたこれらのアカウントは後にブラックマーケットに流れ、スパムの送信やフィッシング攻撃に利用される可能性があります。
ドメイン名レジストラREG.ruの協力により Flexnet のC&Cサーバーのいくつかがブロックされ、現在、サイバー犯罪者は感染したデバイスの一部をコントロールすることができなくなっています。
Androidデバイスのユーザーには、ソフトウェアやゲームはGoogle Playなどの信頼できる提供元からのみインストールするようにすることが推奨されます。他のユーザーによるレビューに気を付けるようにし、信頼できる開発元のソフトウェアのみをインストールするようにしてください。
Dr.Web for Androidは Flexnet のすべての既知の亜種を Android.ZBot ファミリーの一部として検出し、それらをデバイスから削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
#Android, #banking_Trojan, #two_factor_authentication
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億4000万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
03.11 2019年2月のモバイルマルウェアレビュー
2019年3月11日
株式会社Doctor Web Pacific
2019年の冬最後の月はAndroidデバイスユーザーにとって平穏なものとはなりませんでした。2月中旬、Doctor Webのスペシャリストによって、 Android.HiddenAds ファミリーに属する約40のトロイの木馬がGoogle Play上で発見されました。これらトロイの木馬は人気のソーシャルメディアやオンラインサービス内に表示される広告を介して拡散されていました。また、Android搭載スマートフォンやタブレットのユーザーは、詐欺スキームに使用されるトロイの木馬 Android.FakeApp、ダウローダ型トロイの木馬、およびその他の悪意のあるアプリケーションや不要なアプリケーションの標的となりました。
2月の主な傾向
- Google Play上で新たな悪意のあるプログラムを検出
2月のモバイル脅威
2月、Doctor WebのマルウェアアナリストはGoogle Play上で Android.HiddenAds ファミリーに属する39のトロイの木馬を発見しました。犯罪者は、数百万のユーザーが利用するYouTubeやWhatsAppなどの人気の高いオンラインサービス上でこのトロイの木馬を積極的に宣伝していました。高性能な写真や動画の編集ツールとして宣伝されていますが、実際にユーザーのスマートフォンやタブレット上にインストールされるのは編集ツールとしてのわずかな機能のみを持ったトロイの木馬です。およそ1千万人のユーザーが被害に遭っています。
このトロイの木馬は他のプログラムやシステムインターフェースの前面に絶えず広告を表示させることで、ユーザーが感染したデバイスを操作することを困難にします。
この脅威の詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- Android.Backdoor.2080
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.RemoteCode.197.origin
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
- Android.HiddenAds.261.origin
- Android.HiddenAds.659
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Adware.Zeus.1
- Adware.Patacore.1.origin
- Adware.Patacore.168
- Adware.Jiubang.2
- Android.Toofan.1.origin
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
Google Play上の脅威
Google Play上ではトロイの木馬 Android.HiddenAds のほかに、 Android.FakeApp ファミリーに属する新たなトロイの木馬 Android.FakeApp.155、 Android.FakeApp.154、 Android.FakeApp.158 などを含む他のマルウェアも発見されています。これらトロイの木馬は詐欺に使用されていました。ユーザーは多額の報酬を受け取ることのできるオンライン調査に参加するためにアプリケーションをインストールするよう促されます。トロイの木馬はそれら「調査」のWebサイトを開き、そこでいくつかの簡単な質問に回答したユーザーは確認のための支払いを行うよう要求されます。その際、送金先は調査参加者ということになっています。ユーザーが支払いに同意した後、報酬を受け取ることはありません。
Androidユーザーはまた、さらに別のマルウェアをダウンロードするトロイの木馬 Android.RemoteCode.2958 による攻撃も受けました。このトロイの木馬は無害なゲームやアプリケーションを装って拡散され、インターネットから任意のコードをダウンロードします。
Android.Proxy.4 と名付けられたまた別のトロイの木馬は、サイバー犯罪者のネットワークトラフィックをリダイレクトさせるために、感染させたデバイスをプロキシサーバーとして利用するというものでした。他のマルウェア同様、このトロイの木馬も一見無害で便利なアプリケーションに隠されていました。
そのほか、Dr.Webのウイルスデータベースには、組み込まれた不要なモジュールである Adware.Sharf.2 が追加されました。このモジュールはソフトウェアウィンドウやシステムインターフェースの前面に広告を表示させます。 Adware.Sharf.2 はボイスレコーダー、GPSコンパス、QRコードスキャナーなどの様々なプログラム内で発見されています。
いくつかのゲームにも不要な広告モジュールが含まれていることが明らかになり、これらはDr.Webの分類により Adware.Patacore.2 および Adware.Patacore.168 と名付けられました。これらのモジュールもまた、迷惑なバナーを表示させます。
ますます多くの悪意のあるアプリケーションや不要なアプリケーションがGoogle Play上で検出されるようになっています。Androidを搭載するモバイルデバイスのユーザーは良く知られた信頼できる開発元からのアプリケーションのみをインストールし、他のユーザーによるレビューに気を付けるようにしてください。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億4000万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
02.20 Doctor Web、インスタグラム経由で拡散されるAndroidトロイの木馬 について警告
2019年2月20日
株式会社Doctor Web Pacific
2月にはトロイの木馬 Android.HiddenAds ファミリーの39の新たな亜種がGoogle Play上で発見されています。これらトロイの木馬は便利で無害なように見えるプログラム(写真アプリケーション、画像や動画のエディター、デスクトップ壁紙、システムユーティリティ、ゲーム、その他のソフトウェアなど)に隠されていました。合計で少なくとも994万305人のユーザーによってインストールされています。Doctor Webでは、検出されたトロイの木馬についてGoogle社に報告を行いましたが、本記事掲載時点でそれらの一部は未だダウンロード可能な状態となっています。
Android.HiddenAds の主な機能は広告を表示させるというものです。バナーや動画の広告を含んだウィンドウを他のプログラムやシステムインターフェースの前面に絶えず表示させることで、ユーザーが感染したデバイスを操作することを困難にします。以下の画像はそのような広告の例です。
トロイの木馬はほぼ常にバナーを表示し続けるため、サイバー犯罪者は人気のオンラインサービスを介したソフトウェアの宣伝にかかった費用をすぐに取り戻すことができます。
スマートフォンやタブレット上にできるだけ長くとどまるため、 Android.HiddenAds はホーム画面のアプリケーションのリストから自身のアイコンを隠します。その後、トロイの木馬を手動で起動させることはできなくなり、検出や削除がより困難になります。また、時間が経つにつれ、どのプログラムをインストールしたかを忘れてしまうユーザーもいると考えられ、そのこともまた、トロイの木馬が「生き残る」ことを可能にします。
2月に検出された Android.HiddenAds ファミリーの亜種のほとんど全てが、同様に自身のアイコンを隠しますが、その代わりにショートカットを作成します。ユーザーの疑いを反らし、削除されるのを防ぐことが目的であると考えられます。ホーム画面のアイコンと異なり、ショートカットではコンテキストメニューからアプリケーションを削除することはできません。ユーザーが怪しいと気付き、アイコンを削除することでトロイの木馬を取り除こうとしても、削除されるのはショートカットだけでトロイの木馬はデバイス上に残り、密かに動作を続けて犯罪者に収益をもたらします。
これらアプリケーションの多くは、インスタグラムやYouTube上で広告を見たAndroidユーザーによってインストールされています。広告では、これらのアプリケーションは機能的で高性能な写真や動画の編集ツールであると宣伝されています。一見したところ、トロイの木馬はその説明通りに機能し、疑わしいところはありません。しかしながら、実際に実行できるのは1つないし複数の基本的な機能のみです。ユーザーはそのことについてレビューに不満を投稿しています。
サイバー犯罪者による積極的な宣伝が多くのモバイルデバイスユーザーを惹きつけ、ダウンロード数を増加させています。これらトロイの木馬の中には人気上昇中の新しい製品やアプリケーションを宣伝するGoogle Playのセクション内で紹介されているものもあり、これもまたダウンロードするユーザーの数を増加させる結果となっています。
本記事掲載時点でDoctor Webのエキスパートによって明らかになっている全てのトロイの木馬に関する情報はサマリーテーブルでご確認いただけます。ただし、サイバー犯罪者は Android.HiddenAds の新たな亜種を絶え間なく作成し積極的に宣伝しているため、すぐに別の亜種が発見される可能性があります。
アプリケーションのパッケージ名 | ダウンロード数 |
---|---|
com.funshionstyle.ledcaller | 1 000 000+ |
com.uniokan.pipphotoframer | 50 000+ |
com.flextool.scanner.play | 100 000+ |
com.flextool.superfastscanner | 100 000+ |
com.piano.tiles.songs.black.white.game | 10 000+ |
com.pop.stars.pop.cube | 10 000+ |
com.mp3audio.musicplayer.fly.fun | 100 000+ |
com.picsart.photo.editor | 50 000+ |
com.loopshapes.infinite.puzzle | 100+ |
com.cdtushudw.brand.logo.expert | 10 000+ |
com.aardingw.chess.queen | 50 000+ |
com.particle.sand.box | 100+ |
checkers.online.classic.board.tactics | 500 000+ |
com.wind.pics.blur.editor | 1 000 000+ |
com.draughts.checkersnew | 50 000+ |
com.watermark.zooms.camera | 10 000+ |
com.photo.cut.out.studio | 1 000 000+ |
com.camera.easy.photo.beauty | 100 000+ |
com.camera.easy.photo.beauty.Pro | 10 000+ |
com.soon.ygy.photograph.camera | 500 000+ |
com.music.play.hi.cloud | 500 000+ |
com.scanfactory.smartscan | 100 000+ |
com.personalife.hdwallpaper | 10 000+ |
com.smartmob.minicleaner | 100 000+ |
com.beautylife.livepipcamera | 100 000+ |
com.callcolorshow.callflash | 10 000+ |
com.mobwontools.pixel.blur.cam | 1 000 000+ |
com.video.nin.cut.face | 100 000+ |
com.magicvcam.meet.photograph | 100 000+ |
com.best.blur.editor.photo | 100,000+ |
com.autocleaner.supercleaner | 10 000+ |
com.wallpapers.project.hd.hd3d.best.live | 10 000+ |
com.camera.selfie.beauty.candy.cam | 5+ |
com.wallpaper.hd3d.hd.lock.screen.best3d.best | 50 000+ |
com.selfie.beauty.candy.camera.pro | 1 000 000+ |
com.cam.air.crush | 1 000 000+ |
com.fancy.photo.blur.editor | 1 000 000+ |
com.photoeditor.background.change | 100 000+ |
com.eraser.ygycamera.background | 100 000+ |
ユーザーの皆様には、Dr.Web for Androidでモバイルデバイスのフルスキャンを実行し、検出されたトロイの木馬を削除することをお勧めします。
スマートフォンやタブレットのユーザーはインターネット上の広告に注意し、たとえそれらがGoogle Playから配信されているものであったとしても、宣伝されている全てのソフトウェアをダウンロードするようなことのないようにしてください。信頼できる開発元からのアプリケーションのみをインストールし、他のユーザーによるレビューに気を付けるようにしてください。
#Android #fraud #Google_Play #Trojan
02.04 2019年1月のモバイルマルウェアレビュー
2019年2月4日
株式会社Doctor Web Pacific
2019年1月、多くのマルウェアがAndroidデバイスを攻撃しました。1月上旬にはサイバースパイ行為を行うために設計されたトロイの木馬 Android.Spy.525.origin についてDoctor Webのウイルスアナリストによる調査が行われ、その後、複数のアドウェア型トロイの木馬が発見され、 Android.HiddenAds.361.origin および Android.HiddenAds.356.origin と名付けられました。また、ブックメーカーの公式アプリケーションを装って拡散される Android.Click ファミリーに属する新たなクリッカーが複数検出されたほか、スマートフォンやタブレット上にAndroidバンカーをダウンロードする Android.DownLoader ファミリーに属するダウンローダ型トロイの木馬も拡散されています。
1月の主な傾向
- Google Play上で悪意のあるプログラムを検出
- Androidを標的とするスパイウェア型トロイの木馬を検出
1月のモバイル脅威
1月上旬、スパイウェア Android.Spy.525.origin がDr.Webのウイルスデータベースに追加されました。このスパイウェアは便利なアプリケーションを装ってGoogle Playから拡散されていたほか、訪問者をポピュラーなファイル共有リソース MediaFire にリダイレクトする悪質なWebサイトからも拡散されていました。 MediaFire にはトロイの木馬のコピーが置かれています。
Android.Spy.525.origin はC&Cサーバーからのコマンドに従って感染したスマートフォンやタブレットの位置情報を追跡し、テキストメッセージの履歴を盗み、通話に関する情報や電話帳のデータ、デバイスに保存されたファイルを取得し、フィッシングウィンドウを表示させることができます。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.RemoteCode.197.origin
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
- Android.HiddenAds.261.origin
- Android.HiddenAds.659
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Mobifun.4
- 様々なアプリケーションをダウンロードするトロイの木馬です。
- Adware.Zeus.1
- Adware.AdPush.29.origin
- Adware.Patacore.1.origin
- Adware.Patacore.168
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
Google Play上の脅威
1月には Android.Spy.525.origin の他にもGoogle Play上で脅威が発見されています。初旬には Android.HiddenAds.361.origin と Android.HiddenAds.356.origin がウイルスデータベースに追加されました。これら悪意のあるプログラムは2018年12月の記事で紹介した Android.HiddenAds.343.origin の亜種で、便利なプログラムを装って拡散されていました。起動されると、自身のアイコンを隠し、広告を表示させます。
そのほか、Doctor Webのマルウェアアナリストは様々なダウンローダについて調査を行いました。 Android.DownLoader.4063、 Android.DownLoader.855.origin、 Android.DownLoader.857.origin、 Android.DownLoader.4102、 Android.DownLoader.4107 と名付けられたそれらトロイの木馬は、通貨コンバータや公式バンキングアプリケーションなどの便利なプログラムを装って拡散されていました。これらのトロイの木馬は、金融機関の口座から機密情報と金銭を盗むよう設計されたAndroidバンカーをモバイルデバイス上にダウンロードし、インストールしようと試みます。
そのようなバンキング型トロイの木馬の1つ Android.BankBot.509.origin は、2018年12月に報告した Android.BankBot.495.origin の亜種です。このバンカーはアクセシビリティサービスを使用してボタンやメニュー項目を自動的にタップすることで、インストールされているアプリケーションを密かに操作しようとします。 Android.BankBot.508.origin と名付けられたまた別のトロイの木馬はフィッシングウィンドウを表示させ、ユーザーの認証情報やその他の個人情報を盗もうとします。また、取引に必要な確認コードを含んだテキストメッセージを横取りします。
1月下旬、Doctor Webのエキスパートは Android.Click.651、 Android.Click.664、 Android.Click.665、 Android.Click.670を含む、 Android.Click ファミリーに属する新たなクリッカー型トロイの木馬を発見しました。ブックメーカーの公式アプリケーションを装って拡散されるこれらトロイの木馬は、C&Cサーバーからのコマンドに従って任意のWebサイトをロードすることが可能であることから、深刻な脅威となっています。
Doctor Webのスペシャリストはモバイルデバイスを狙ったウイルスの状況について監視を続け、悪意のあるプログラムや不要なプログラムを検出・削除するためにDr.Webウイルスデータベースを即時にアップデートしています。したがって、Dr.Web for Androidによって保護されているスマートフォンやタブレットに危害が及ぶことはありません。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億4000万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
01.11 2018年のモバイルマルウェアレビュー
2019年1月11日
株式会社Doctor Web Pacific
2018年も、Androidモバイルデバイスユーザーは依然として多数の悪意のあるプログラムや不要なプログラムの標的となり、それらプログラムの多くがGoogle Playから拡散されていました。また、2017年から見られた、様々な手法を用いてトロイの木馬を隠し、検出を困難にするという傾向が顕著に強まっています。
2018年に拡散されたモバイルデバイスユーザーに対する主な脅威の1つが、世界中で金融機関の利用者を攻撃するAndroidバンカーです。インターネットから任意のコードをダウンロードして実行する機能を備えたマルウェアもまた、深刻な脅威となっています。
ウイルス作成者は詐欺行為を実行するために積極的にトロイの木馬を拡散させていたほか、不正な収益を得るために他の悪意のあるアプリケーションも使用していました。また、モバイルデバイス上で仮想通貨のマイニングを実行しようと試み、Androidデバイスのクリップボードにあるデジタルウォレットの番号を置き換えるクリッパートロイの木馬も使用しています。
モバイルデバイスのファームウェアの製造段階での感染は引き続き問題となっています。2018年春には、Android OSのイメージ内にトロイの木馬が埋め込まれており、40を超えるモバイルデバイスのモデルが感染しているということがDoctor Webのウイルスアナリストによって明らかになりました。
そのほか、2018年を通して悪意のあるスパイウェアがユーザーを脅かしました。
2018年の主な傾向
- Google Play上で悪意のあるプログラムや不要なプログラムを新たに検出
- マルウェアの検出を妨げようとするウイルス作成者の試み
- 世界中で金融機関の利用者を攻撃するバンキング型トロイの木馬
- 悪意のある動作を自動化するためにAndroidのアクセシビリティサービスを利用するトロイの木馬
- クリップボードのデジタルウォレット番号を置き換えるクリッパートロイの木馬の拡散
最も注目すべきイベント
2018年の初め、情報セキュリティスペシャリストは、スマートテレビやルーター、ストリーミングボックス、およびその他のAndroidデバイスを感染させるトロイの木馬マイナー Android.CoinMine.15 の拡散を検出しました。このトロイの木馬は Android Debug Bridge(ADB) を使用するデバイスを感染させますが、その際、ランダムなIPアドレスを生成して、開いている5555番ポートに接続しようとします。接続に成功すると、自身のコピーと補助ファイルをデバイス上にインストールします。このファイルには Monero(XMR) をマイニングするソフトウェアが含まれています。
3月、Doctor WebはAndroidデバイスの40を超えるモデルのファームウェアにトロイの木馬 Android.Triada.231 が埋め込まれているという新たなケースを発見しました。 Android.Triada ファミリーに属する他の亜種は個別のアプリケーションとして拡散されますが、 Android.Triada.231 は正体不明の犯罪者によってソースコードレベルでシステムライブラリの1つに埋め込まれていました。このトロイの木馬はプログラムを起動させるシステムプロセスである Zygote に自身を埋め込みます。その結果、 Android.Triada.231 は他のプロセスを感染させ、密かに悪意のある動作(ユーザーの操作なしにソフトウェアをダウンロード、インストール、削除するなど)を実行することが可能になります。この脅威に関する詳細については、こちらの記事をご覧ください。
犯罪者は、悪意のあるプログラムや不要なプログラムが検出されることを防ぐために多種多様な手法を用いるようになってきています。2018年もこの傾向は続きました。マルウェアをユーザーに気づかれにくくするための最も一般的な方法はダウンローダの使用です。ダウンローダによって、トロイの木馬やその他の危険なソフトウェアがアンチウイルスソフトウェアに検出されるまでの時間をより長くし、ユーザーが疑いを持たないようにすることが可能になります。これらのダウンローダを使用して、サイバー犯罪者はスパイウェア型トロイの木馬など様々なマルウェアを拡散させることができます。
4月、ダウンローダ Android.DownLoader.3557 がGoogle Play上で発見されました。このダウンローダは、重要なプラグインを装った悪意のあるソフトウェア Android.Spy.443.origin と Android.Spy.444.origin をデバイス上にダウンロードし、それらをインストールするようユーザーに促します。これらトロイの木馬は感染したスマートフォンやタブレットの所在地を追跡し、利用可能なすべてのファイルに関する情報を取得し、サイバー犯罪者にユーザーのドキュメントを送信し、SMSメッセージを送信または盗み、デバイスのマイクを使用して周囲の音を録音し、動画を撮り、通話を傍受し、連絡先リストからデータを盗み、さらにその他の動作も実行します。
8月にはダウンローダ Android.DownLoader.784.origin がGoogle Play上で発見されています。このダウンローダはスパイウェア型トロイの木馬 Android.Spy.409.origin をデバイス上にダウンロードします。Android.DownLoader.784.origin は『Zee Player』というアプリケーションに埋め込まれていました。このアプリケーションは、トロイの木馬がモバイルデバイスのメモリ内に保存されている写真や動画を非表示にすることを可能にします。ユーザーが疑いを抱くことのないよう、このプログラムは実際にアプリケーションの機能を実行するようになっています。
ダウンローダ型トロイの木馬は、Androidバンカーの拡散に使用されるケースが多くなっています。7月、金融機関のアプリケーションを装った Android.DownLoader.753.origin がGoogle Play上で発見されました。これらトロイの木馬のいくつかは、信頼性を高めるために実際にアプリケーションの機能を実行します。 Android.DownLoader.753.origin は、機密情報を盗む様々なバンキング型トロイの木馬をダウンロードし、それらをインストールしようと試みます。
その後、同様の悪意のあるプログラムが複数、Google Play上で検出されています。 Android.DownLoader.768.origin と名付けられたそのうちの1つは、シェル社の公式ソフトウェアを装って拡散されていました。 Android.DownLoader.772.origin としてDr.Webのウイルスデータベースに追加されたまた別のトロイの木馬は、便利なユーティリティを装っていました。いずれのトロイの木馬もAndroidバンカーをダウンロード・インストールするために使用されていました。
ダウンローダはモバイルデバイスを他のマルウェアに感染させるために使用されます。10月、VPNクライアントを装ってGoogle Playから拡散されていたトロイの木馬 Android.DownLoader.818.origin が発見され、その後、このトロイの木馬の亜種 Android.DownLoader.819.origin と Android.DownLoader.828.origin が偽のゲームに含まれて拡散されていることがDoctor Webのエキスパートによって明らかになりました。これらトロイの木馬はアドウェア型トロイの木馬をインストールしようと試みます。
マルチコンポーネントな悪意のあるアプリケーションは、ますます一般的になってきています。この様なアプリケーションでは各モジュールが特定の機能を実行するため、犯罪者は必要に応じてトロイの木馬の機能を拡張することが可能です。この動作原理は、脅威の検出を妨げるために利用されています。ウイルス作成者はこれらプラグインを素早くアップデートすることで、トロイの木馬の本体に最小限の機能のセットだけを残し、その結果、検出されにくくすることができます。
2月、Doctor Webのエキスパートはそのようなマルチコンポーネントトロイの木馬である Android.RemoteCode.127.origin を発見しました。450万をこえるユーザーによってダウンロードされていたこのトロイの木馬は、様々な動作を実行する悪意のあるモジュールをダウンロードして起動させます。 Android.RemoteCode.127.origin のプラグインの1つは、無害であると見せかけた画像に隠されたパッチを使用して自身をアップデートします。悪意のあるオブジェクトを画像内に隠すこのような手法(ステガノグラフィ、 steganography) はウイルスアナリストの間で既に知られていますが、ウイルス作成者によって使用された例はごくわずかです。
複号化されて起動されると、このモジュールは別のプラグインが隠されたまた別の画像をダウンロードししますが、このプラグインが Android.Click.221.origin をダウンロードして起動させます。次に、Webサイトをバックグランドで開き、サイト上にあるリンクやバナーなどのアイテムをクリックします。こうして、サイバー犯罪者はWebサイトのトラフィックを増加させ、バナーをクリックすることで収益を得ることができます。
以下は、 Android.RemoteCode.127.origin の暗号化されたモジュールを含んだ画像の例です。
この脅威に関する詳細については、こちらの記事をご覧ください。
Android.RemoteCode.152.origin は、任意のコードをロードして実行することのできるまた別のマルチコンポーネントトロイの木馬です。650万を超えるユーザーによってインストールされていたこのトロイの木馬は、広告プラグインを含む補助モジュールを密かにダウンロードして起動させます。 Android.RemoteCode.152.origin はこれらのモジュールを使用して見えない広告バナーを作成し、それらをクリックすることでウイルス作成者に収益をもたらします。
8月、Doctor Webのアナリストはクリッパートロイの木馬 Android.Clipper.1.origin と、その亜種である Android.Clipper.2.origin について調査を行いました。良く知られた無害なアプリケーションを装って拡散されていたこの悪意のあるプログラムは、仮想通貨Bitcoin、 Monero、 zCash、 DOGE、 DASH、 Etherium、 Blackcoin、 Litecoinに加え、 QIWI、 WebMoney (R and Z)、 Yandex.Money 決済システムのデジタルウォレット番号を置き換えることができます。
ユーザーがデジタルウォレット番号をクリップボードにコピーすると、 Android.Clipper.1.origin はその番号をC&Cサーバーに送信します。次に、応答としてサイバー犯罪者のウォレット番号を受け取り、元の番号の代わりにそれをクリップボードに追加します。その結果、置き換えに気づいていないユーザーはサイバー犯罪者のアカウントに送金してしまうことになります。この脅威に関する詳細については、こちらの記事をご覧ください。
モバイルマルウェアに関する状況
Android製品上でDr. Webによって検出された脅威に関する統計によると、2018年にはアドウェア型トロイの木馬、悪意のあるソフトウェアや不要なソフトウェアをダウンロードするマルウェア、不要なソフトウェア、サイバー犯罪者のコマンドを実行するトロイの木馬が最も多く検出されています。
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドに従って悪意のある動作を実行するトロイの木馬です。
- Android.Mobifun.4
- Androidデバイス上に様々なソフトウェアをダウンロードするトロイの木馬です。
- Android.HiddenAds
- 広告を表示させるよう設計されたトロイの木馬ファミリーです。
- Android.DownLoader.573.origin
- ウイルス作成者によって指定されたアプリケーションをダウンロードするマルウェアです。
- Android.Packed.15893
- プログラムパッカーで保護されたAndroidトロイの木馬です。
- Android.Xiny.197
- 主にアプリケーションをダウンロード・削除するよう設計されたトロイの木馬です。
- Android.Altamob.1.origin
- 悪意のあるモジュールを密かにダウンロード・起動させるアドウェア型トロイの木馬です。
2018年にAndroidデバイス上で検出された不要なプログラムと潜在的に危険なアプリケーションについては、広告を表示させるモジュールが最も多く、そのほかに、様々なソフトウェアをダウンロード・インストールするアプリケーションも検出されています。
- Adware.Zeus.1
- Adware.Altamob.1.origin
- Adware.Jiubang
- Adware.Adtiming.1.origin
- Adware.Adpush.601
- Adware.SalmonAds.3.origin
- Adware.Gexin.2.origin
これらは、迷惑な広告を表示させるためにソフトウェア開発者やウイルス作成者によってアプリケーション内に組み込まれた不要なモジュールです。
- Tool.SilentInstaller.1.origin
- Tool.SilentInstaller.6.origin
他のアプリケーションをダウンロード・インストールするよう設計された潜在的に危険なプログラムです。
バンキング型トロイの木馬
バンキング型トロイの木馬は依然としてモバイルデバイスユーザーにとって深刻な脅威となっています。これら悪意のあるアプリケーションは金融機関の利用者のアカウントにアクセスするための認証情報、銀行カードの詳細、そして金銭を盗むために利用できるその他の機密情報を盗みます。2018年にはDr.Web for Androidによって11万を超えるバンキング型トロイの木馬がスマートフォンやタブレット上で検出されています。以下のグラフはAndroidバンカーの検出推移です。
バンキング型トロイの木馬 Android.BankBot.149.origin のソースコードが2016年の末にその作成者によって公開された際、Doctor Webのエキスパートは、このトロイの木馬に類似する様々なマルウェアが出現することになると予測しました。この予測は現実のものとなり、ウイルス作成者は同様のバンカーを積極的に作成するようになったほか、それらを改良したり新たな機能を追加したりするようになりました。2018年には、そのようなトロイの木馬の1つである Android.BankBot.250.origin と、その新たな亜種であり、より危険なバージョンである Android.BankBot.325.origin が拡散されました。Anubisとしても知られるこのバンカーは、多機能な悪意のあるアプリケーションです。ユーザーから機密データや金銭を盗むだけでなく、多くのコマンドを実行する機能も備えています。また、 Android.BankBot.325.origin をリモート管理ユーティリティとして使用することで、サイバー犯罪者は感染させたデバイスにアクセスすることが可能です。この脅威に関する詳細については、こちらの記事をご覧ください。
3月、Doctor Webのエキスパートは「VSEBANKI – Vse banki v odnom meste(ALLBANKS – すべての銀行を一か所に)」と呼ばれるアプリケーションにトロイの木馬 Android.BankBot.344.origin が潜んでいることを発見しました。犯罪者は、このアプリケーションは複数のロシアの金融機関のオンラインバンキングに使用できるユニバーサルアプリケーションであると謳っています。
起動されると、 Android.BankBot.344.origin はログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するようユーザーに促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。その結果、犯罪者はユーザーから金銭を盗むことが可能になります。
秋には、同じくGoogle Playから拡散されてスペイン、フランス、ドイツの金融機関の利用者を攻撃していたバンカー Android.Banker.2876 についてウイルスアナリストによる調査が行われました。このトロイの木馬はフィッシングウィンドウを表示して電話番号を入力するようユーザーに促し、それらの情報を犯罪者に送信します。その後、 Android.Banker.2876 はSMSメッセージを横取りし、その内容も犯罪者に送信します。その結果、犯罪者は銀行取引を確定するためのワンタイムパスワードやフィッシング攻撃に使用することのできるその他の機密情報を入手することが可能になります。
その後間もなくして、Doctor Webのウイルスアナリストは、ブラジルの金融機関の利用者を攻撃しているトロイの木馬 Android.BankBot.495.origin をGoogle Play上で発見しました。このトロイの木馬はAndroidのアクセシビリティ機能を使用して実行中のアプリケーションのウィンドウの内容を読み取り、機密情報を犯罪者に送信するほか、ボタンを自動的にタップしてプログラムの動作をコントロールします。また、偽のウィンドウを表示させ、認証情報やクレジットカード情報、その他の機密情報を入力するようユーザーに促す機能も備えています。
詐欺
Androidデバイス向けのマルウェアを詐欺行為に使用するサイバー犯罪者が増えています。2018年にはそのような事例が多く確認されました。そのうちの1つが、4月に記事を掲載した Android.Click.245.origin です。このトロイの木馬は良く知られたアプリケーションを装って拡散されていましたが、実際には偽のWebページを開き、ユーザーに電話番号を入力させた後、様々なソフトウェアをダウンロードさせます。電話番号を入力したユーザーは「ダウンロード」を完了するために必要とされる確認コードが含まれたSMSメッセージを受け取ります。ところが、このコードを入力したユーザーは有料サービスに登録されてしまいます。感染させたデバイスがモバイル通信経由でインターネットに接続していた場合、ユーザーは偽のダウンロードボタンをクリックした直後に Wap-Click テクノロジーを使用して高額なサービスに自動的に登録されます。以下の画像はその例です。
2018年を通して、C&Cサーバーからのコマンドに従ってあらゆるWebページを開くことのできるトロイの木馬が他にもGoogle Play上で発見されています。そのようなトロイの木馬には、 Android.Click.415、 Android.Click.416、 Android.Click.417、 Android.Click.246.origin、 Android.Click.248.origin、 Android.Click.458 などがあります。これらトロイの木馬もまた、レシピ集、マニュアル、音声アシスタント、ゲーム、ブックメーカーアプリケーションなどの便利なプログラムを装って拡散されていました。
偽の調査を行うWebページを開くトロイの木馬 Android.FakeApp ファミリーも多く拡散されました。このファミリーに属するトロイの木馬は、調査に参加することで報酬を得ることができるとしてユーザーを騙します。報酬を受け取るために、ユーザーは手数料を支払うよう要求され、ユーザーが支払いに同意すると指定された金額がサイバー犯罪者に振り込まれます。もちろん、ユーザーが報酬を受け取ることはありません。
また、2018年には詐欺アプリケーション Android.FakeApp と Android.Click が多数発見されています。これらのアプリケーションは、 85,000 を超えるAndroidデバイスのユーザーによってインストールされていました。これらの脅威に関する詳細については、こちらの記事をご覧ください。
今後の傾向と予測
2019年もモバイルデバイスユーザーはバンキング型トロイの木馬による攻撃を受け、ウイルス作成者はそれらトロイの木馬の機能を改良し続けていくものと考えられます。Androidバンカーは幅広いタスクを実行することが可能な多機能なマルウェアへと変化を遂げる可能性があります。
詐欺アプリケーションや広告を表示するトロイの木馬の数も増加するものとみられます。Androidデバイスの処理能力を利用して仮想通貨をマイニングする試みは今後も続くでしょう。また、さらなるファームウェアの感染が起こる可能性も否定できません。
サイバー犯罪者は、アンチウイルスを回避するための方法と、今後Android OSに組み込まれる新しい制限や保護機能を回避するための方法を進化させていくものと考えられます。それらのバリアを回避することのできるルートキットやトロイの木馬にも注意していく必要があります。新しい動作原理を持ち、これまでにない方法で機密情報を入手する悪意のあるプログラムが出現する可能性があります。例えば、モバイルデバイスのセンサーやアイトラッキング(視線追跡)センサーを利用して、入力されたテキストに関する情報を入手する方法などが挙げられます。さらに、機械学習アルゴリズムやその他の人工知能を使用する新しいマルウェアが登場する可能性もあります。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億4000万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
01.09 2018年12月のモバイルマルウェアレビュー
2019年1月9日
株式会社Doctor Web Pacific
12月上旬、ブラジルのAndroidデバイスユーザーはGoogle Playから拡散されたバンキング型トロイの木馬による攻撃を受けました。Google Playでは、その他の悪意のあるアプリケーションもいくつか発見されています。12月の終わりには大量の機密情報を収集する商用スパイウェアの新たなバージョンがDoctor Webのエキスパートによって発見されました。
12月の主な傾向
- ブラジルで新しい危険なバンキング型トロイの木馬の拡散
- モバイルデバイスユーザーを監視する、潜在的に危険なスパイウェアの新たなバージョンを検出
- Google Play上で悪意のあるアプリケーションや不要なアプリケーションを検出
12月のモバイル脅威
12月初旬、ウイルスアナリストは、ブラジルの金融機関の利用者を攻撃していたバンキング型トロイの木馬 Android.BankBot.495.origin について調査を行いました。このマルウェアはAndroidのアクセシビリティ機能を取得しようと試み、その機能を使用することでバンキングアプリケーションをコントロールし、それらアプリケーションのウィンドウの内容を読み取り、機密情報を犯罪者に送信します。さらに、 Android.BankBot.495.origin はアプリケーションの前面にフィッシングウィンドウを表示させ、認証情報、銀行カード情報、その他の機密データを入力するようユーザーに促します。
このトロイの木馬に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds.261.origin
- Android.HiddenAds.659
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.DownLoader.573.origin
- 別のマルウェアアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.Mobifun.4
- 様々なアプリケーションをダウンロードするトロイの木馬です。
- Adware.Zeus.1
- Adware.Patacore.1.origin
- Adware.Adpush.2514
- Adware.AdPush.29.origin
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
Google Play上の脅威
12月を通して、悪意のあるプログラムや不要なプログラムが多数Google Play上で検出されました。それらの中には、ゲームや便利なアプリケーションを装って拡散されていたアドウェア型トロイの木馬 Android.HiddenAds.343.origin と Android.HiddenAds.847 が含まれています。起動されると、これらトロイの木馬はホーム画面から自身のアイコンを隠し、広告を表示させます。
また、不要なモジュールを含んだプログラム Adware.Patacore と Adware.HiddenAds も検出されています。これらのプログラムは、それらが含まれているソフトウェアが実行されていない場合でも広告を表示することができます。合計で530万を超えるユーザーによってインストールされていました。
サイバー犯罪者は詐欺アプリケーションを拡散し続けています。12月にはトロイの木馬 Android.FakeApp.149、 Android.FakeApp.151、 Android.FakeApp.152 が検出され、Dr.Webのウイルスデータベースに追加されました。これら悪意のあるプログラムは詐欺サイトを開き、いくつかの質問に回答することで報酬を得ることができるとユーザーを騙します。ユーザーは「報酬」を受け取るために手数料を支払うよう要求されます。もちろん、その後ユーザーが報酬を受け取ることはありません。
また、ウイルス作成者がユーザーのスマートフォンやタブレットを介してトラフィックをリダイレクトするために使用していたトロイの木馬 Android.Proxy.4.origin も検出されています。 Android.Proxy.4.origin は一見無害なゲームに隠されていました。
サイバースパイ行為
12月に検出された潜在的に危険なプログラムの中に、Androidデバイスユーザーを監視することを可能にする商用スパイウェア Program.Spyzie.1.origin の新しいバージョンがあります。このスパイウェアはテキストメッセージやメールを横取りして読み込み、通話、Webブラウザ履歴、感染したスマートフォンやタブレットの位置情報を追跡します。また、一般的なオンラインメッセンジャーのメッセージ履歴にアクセスし、その他の情報を盗みます。
Androidユーザーは、オンラインとGoogle Playの両方から拡散される様々な悪意のあるプログラムや不要なプログラムの標的となっています。また、犯罪者がモバイルデバイスに物理的にアクセスすることが可能な場合、直接マルウェアをインストールされてしまう可能性もあります。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億4000万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
2018
12.11 ブラジルのモバイルデバイスユーザーを攻撃するバンキング型トロイの木馬
2018年12月11日
株式会社Doctor Web Pacific
Android.BankBot.495.origin はAndroidスマートフォンやタブレットのユーザーをモニターすることを可能にするとされるアプリケーションを装って拡散されていました。このトロイの木馬は、WLocaliza Ache Já、WhatsWhere Ache Já、WhatsLocal Ache Jáと呼ばれるソフトウェアに隠されていました。Doctor WebからGoogle社に対して報告を行ったところ、これらのプログラムは直ちにGoogle Playより削除されました。2,000人を超えるユーザーがこのトロイの木馬をダウンロードしています。
起動すると、 Android.BankBot.495.origin はシステム設定を開き、アクセシビリティオプションを有効にするようユーザーに促すことでアクセシビリティ機能を取得しようとします。ユーザーがトロイの木馬に権限を与えることに同意すると、 Android.BankBot.495.origin はバックグラウンドでプログラムをコントロールし、ボタンをタップし、アクティブなアプリケーションウィンドウからその内容を盗むことができるようになります。
トロイの木馬がアクセシビリティ機能にアクセスすることをユーザーが許可すると、 Android.BankBot.495.origin はウィンドウを閉じ、悪意のあるサービスを開始し、それを使用してバックグラウンドで動作を続けます。次に、 Android.BankBot.495.origin は実行中のプログラムの前面に画面を表示させるためのアクセスを要求します。このオプションは後にフィッシングウィンドウを表示させる際に必要となります。先に取得したアクセシビリティ機能を使用する許可は、許可を要求した際に表示されるあらゆる「PERMITIR(許可)」ボタンを自動的にタップするために使用されます。その結果、システム言語がポルトガル語であれば、トロイの木馬は必要な権限を勝手に取得することができるようになります。
さらに、このトロイの木馬は特別な自己防衛機能を使用して、いくつかのアンチウイルスやユーティリティをトラッキングし、それらが起動されると「戻る」ボタンを4回押してウィンドウを閉じようとします。
Android.BankBot.495.origin は初期設定を受け取るためにリモートホストに接続し、見えないWebViewウィンドウ内で犯罪者から受け取ったリンクを辿ります。何回かリダイレクトされた後、トロイの木馬は2つのC&Cサーバーの暗号化されたIPアドレスがある最後のリンクを受け取ります。次に、 Android.BankBot.495.origin はそれらの1つに接続し、アプリケーションの名前が記載されたリストを受け取ると、それらがデバイス上にインストールされているかどうかを確認してサーバーに報告します。続けて、複数のリクエストを1つずつ送信し、アプリケーションのいずれか1つ(サーバーの設定によって異なる)を起動させるコマンドを受け取ります。Doctor Webによる調査が行われた時点で、このトロイの木馬はデフォルトのSMSアプリケーションのほか、金融機関Banco Itaú S.A.およびBanco Bradesco S.A.のソフトウェアを起動させることが可能でした。
Banco Itaúを起動した場合、このトロイの木馬はアクセシビリティ機能を使用してウィンドウの内容を読み取り、ユーザーの銀行口座の残高に関する情報を犯罪者に転送します。続けて、アプリケーション内の口座管理に移動し、そこで電子取引の確定に使用されるセキュリティコードであるiTokenキーをコピーして犯罪者に送信します。
Bradescoを起動した場合、トロイの木馬はユーザーの口座情報を読み込み、C&Cサーバーから受け取ったPINコードを入力して自動的にログインしようと試みます。 Android.BankBot.495.origin はユーザーの口座残高をコピーし、先に入手しておいた口座情報と一緒に犯罪者に送信します。
SMSアプリケーションを起動させるコマンドを受け取った場合、トロイの木馬はSMSを開き、メッセージのテキストを読み込んで保存し、それらをサーバーに送信します。また、CaixaBank S.A.から受け取ったメッセージを特定することができ、それらを個別のリクエストで送信します。
サイバー犯罪者はフィッシング攻撃にも Android.BankBot.495.origin を使用しています。このトロイの木馬は、Itaucard Controle seu cartão、Banco do Brasil、Banco Itaú、CAIXA、Bradesco、Uber、Netflix、Twitterのソフトウェアを監視します。これらのソフトウェアが起動されるとトロイの木馬はそれを検知し、起動されたアプリケーションのものを模倣した偽のWebページを2つ目のC&Cサーバーからロードしてオーバーレイウィンドウで開きます。ユーザーは口座に関する情報、銀行口座番号、キャッシュカードに関する詳細、ログイン、パスワード、およびその他の機密情報を入力するよう促される場合があります。
以下の画像はそのようなフィッシングページの例です。
ユーザーが入力した情報は犯罪者に送信されます。その後、トロイの木馬は偽のウィンドウを閉じ、模倣の対象となったアプリケーションを再起動させます。アプリケーションのウィンドウが閉じられたことをユーザーが不審に思わないようにするためです。
Androidソフトウェアをインストールする際は、たとえそれがGoogle Playから入手するものであったとしても、十分に注意を払うようにしてください。犯罪者は良く知られたソフトウェアの偽物や、一見無害にみえるアプリケーションを作成することができます。トロイの木馬をインストールしてしまうリスクを減らすために、開発者の名前、アプリケーションがGoogle Playに追加された日付、ダウンロード数、他のユーザーによるレビューに気を付けるようにしてください。また、アンチウイルスを使用することも重要です。
バンキング型トロイの木馬 Android.BankBot.495.origin の既知のすべての亜種はDr.Web for Androidによって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Android.BankBot.495.originの詳細 (英語)
#Android, #Google_Play, #banking_Trojan, #phishing
12.04 2018年11月のモバイルマルウェアレビュー
2018年12月4日
株式会社Doctor Web Pacific
2018年の秋最後の月には、Android向けの新たなバンキング型トロイの木馬がDoctor Webのマルウェアアナリストによって発見されました。このトロイの木馬は欧州の金融機関の利用者を対象にGoogle Playから拡散されていました。11月にはその他のトロイの木馬や不要なソフトウェアも同じくGoogle Play上で発見されています。
11月の主な傾向
- 悪意のあるプログラムや不要なプログラムがGoogle Playから拡散される
11月のモバイル脅威
11月中旬、Doctor Webのエキスパートは欧州で複数の金融機関の利用者を攻撃していたバンキング型トロイの木馬 Android.Banker.2876 を発見しました。このトロイの木馬は機密情報を盗むほか、SMSを横取りしたり送信したりします。
Android.Banker.2876 には以下のような特徴があります。
- Google Play経由で拡散される
- スペイン、フランス、ドイツの金融機関のバンキングアプリケーションを模倣する
- ホーム画面のアプリ一覧から自身のアイコンを隠す
- ゲームが組み込まれており、ユーザーがウィンドウを閉じるとそのゲームが起動する
このトロイの木馬に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.Mobifun.4
- さまざまなアプリケーションをダウンロードするトロイの木馬です。
- Android.HiddenAds.288.origin
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.DownLoader.573.origin
- 別のマルウェアアプリケーションをダウンロードするトロイの木馬です。
- Android.RemoteCode.183.origin
- 任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。
- Adware.Zeus.1
- Adware.Adpush.2514
- Adware.Patacore.1.origin
- Adware.Avazu.5.origin
- Adware.Gexin.2.origin
- Androidアプリケーションに組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示するよう設計されています。
Google Play上の脅威
11月初旬、Doctor Webのウイルスアナリストは不要なアドウェア Adware.HiddenAds.7.origin と Adware.HiddenAds.8.origin を含んだアプリケーションをGoogle Play上で発見しました。このモジュールは、それが組み込まれたプログラムが使用されていない時でも独立して広告を表示させます。
11月後半、Doctor Webのエキスパートは Android.FakeApp トロイの木馬ファミリーに属するまた別の亜種をGoogle Play上で発見し、それらは Android.FakeApp.138、 Android.FakeApp.139、 Android.FakeApp.144 としてDr.Webのウイルスデータベースに追加されました。これらトロイの木馬はアプリケーションに潜み、調査に参加することで報酬を得ることができるとしてユーザーを騙します。起動されると詐欺サイトを開き、いくつかの質問に回答するようユーザーに促します。その後、ユーザーは「報酬」を受け取るために電信送金、通貨換算、または犯罪者によって指定されたその他の方法で手数料を支払うよう要求されます。ユーザーが支払いに同意すると指定された金額がサイバー犯罪者に振り込まれます。もちろん、ユーザーが報酬を受け取ることはありません。
そのほか、ダウンローダ型トロイの木馬 Android.DownLoader.832.origin がさまざまなユーティリティを装って拡散されました。このトロイの木馬は別の悪意のあるアプリケーションをダウンロードし、それらをインストールしようと試みます。
Google Playは依然として最も安全なAndroidアプリの提供元ではありますが、サイバー犯罪者によるGoogle Playからの悪意のあるソフトウェアの拡散は後を絶ちません。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
11.27 欧州のAndroidユーザーを攻撃するバンキング型トロイの木馬
2018年11月27日
株式会社Doctor Web Pacific
Android.Banker.2876 と名付けられたこのトロイの木馬は、スペインのバンキア、ビルバオ・ビスカヤ・アルヘンタリア銀行(BBVA)、サンタンデール銀行、フランスのクレディ・アグリコル、グループバンク・ポピュレール、ドイツのポストバンクといった欧州の金融機関の公式アプリケーションを装って拡散されていました。合計で Android.Banker.2876 の6つの亜種がDoctor Webのエキスパートによって発見されています。これらはすべて、Doctor Webから連絡を受けたGoogle社によってGoogle Play上から直ちに削除されました。
ユーザーによって起動されると、 Android.Banker.2876 は電話を管理・発信する権限とSMSを受送信する権限を要求します。バージョン6.0以前のAndroidデバイスでは、トロイの木馬のインストール中にこれらの権限が自動的に与えられます。以下の画像は権限を要求するメッセージの例です。
Android.Banker.2876 は機密情報(モバイルデバイスの電話番号とカードのデータ、モバイルデバイスの仕様)を収集して Firebase クラウドに送信し、デバイスが感染したことを犯罪者に通知します。次に、トロイの木馬はプログラムを使用するために電話番号を入力するよう被害者に促すダイアログを表示させます。このバンキング型トロイの木馬のそれぞれの亜種は特定のユーザーに合わせて設計されています。例えば、スペインの銀行のアプリケーションを装ったバンキング型トロイの木馬では、そのインターフェイスと表示されるテキストがスペイン語になっています。
被害者が入力した電話番号はクラウドデータベースに転送されます。ユーザーには「登録」確認を待つように指示する第2のダイアログが表示されます。ダイアログには「送信」ボタンがあり、このボタンを押すと Android.Banker.2876 に組み込まれたゲームが起動し、ユーザーを驚かせます。
モバイルデバイスに関する情報のクラウドへのアップロードに成功した場合、トロイの木馬はホームスクリーンから自身のアイコンを隠し、感染したスマートフォンやタブレットがオンになる度に自動的にバックグラウンドで動作します。
Android.Banker.2876 は受信するSMSをすべて横取りし、その内容をローカルデータベースに保存します。メッセージのテキストはFirebaseにアップロードされると同時に、SMS経由でサイバー犯罪者のモバイル番号にも送信されます。その結果、犯罪者は銀行取引を確定するためのワンタイムパスワードやフィッシング攻撃に使用することのできるその他の機密情報を入手することが可能になります。また、トロイの木馬によって収集された電話番号はマルウェアの開発者が詐欺活動を計画する際に使用される可能性があります。
Android.Banker.2876 の既知のすべての亜種はDr.Web for Androidによって検出・駆除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
#Android #Google_Play #banking_Trojan #phishing #fraud
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
11.02 2018年10月のモバイルマルウェアレビュー
2018年11月2日
株式会社Doctor Web Pacific
10月、情報セキュリティスペシャリストは、悪意のあるモジュールをダウンロードして起動するだけでなく、リモートサーバーから送信されたC#スクリプトを実行することもできるAndroidトロイの木馬を発見しました。また、Google Play上でも悪意のあるアプリケーションが検出されています。
10月の主な傾向
- Google Play上で悪意のあるプログラムを検出
- 犯罪者からC#コードを受け取ってコンパイルし、それをモバイルデバイス上で実行するAndroidトロイの木馬を検出
10月のモバイル脅威
Doctor Webのスペシャリストは、ダウンローダ型トロイの木馬 Android.DownLoader.818.origin の組み込まれたアプリケーションがVPNクライアントを装ってGoogle Playから拡散されていることを発見しました。このマルウェアはアドウェア型トロイの木馬をダウンロードし、それをモバイルデバイス上にインストールしようと試みます。その後、このダウンローダの新たな亜種 Android.DownLoader.819.origin および Android.DownLoader.828.origin がマルウェアアナリストによって発見されました。これらトロイの木馬はゲームを装って拡散され、次のような機能を備えています。
- システムから削除されるのを防ぐため、管理者権限を要求する。
- OSのメイン画面にあるプログラムのリストから自身のアプリアイコンを隠す。
- システムソフトウェアを装った別のトロイの木馬をダウンロードし、それらをインストールするようユーザーに促す。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- Android.Backdoor.1521
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds.261.origin
- Android.HiddenAds.288.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.DownLoader.573.origin
- 別のマルウェアアプリケーションをダウンロードするトロイの木馬です。
- Adware.Zeus.1
- Adware.Gexin.2.origin
- Adware.Adpush.2514
- Adware.SalmonAds.3.origin
- Adware.Aesads.1.origin
- Androidアプリケーションに組み込まれ、モバイルデバイス上に迷惑な広告を表示するように設計された不要なプログラムモジュールです。
Google Play上のトロイの木馬
10月の初め、Doctor WebのエキスパートはGoogle Play上で Android.FakeApp.125 を検出しました。このトロイの木馬は簡単な質問に回答するだけで報酬を貰えるというプログラムを装っていました。実際には、 Android.FakeApp.125 は管理サーバーからのコマンドに応じて詐欺サイトを読み込み、表示させます。
続けて、セキュリティリサーチャーはVKontakte内で人気のCloverゲームを装って拡散されていた Android.Click.245.origin を発見しました。 Android.FakeApp.125 同様、 Android.Click.245.origin は詐欺サイトを読み込み、それらをユーザーに対して表示させます。
10月下旬、Doctor Webのアナリストは Android.RemoteCode.192.origin および Android.RemoteCode.193.origin について調査を行いました。これらのマルウェアは一見無害な18のプログラム(バーコードスキャナー、ナビゲーションソフトウェア、ファイルダウンロードマネージャ、様々なゲームなど)に潜み、160万台を超えるAndroidモバイルデバイス上にインストールされています。これらトロイの木馬は悪意のあるモジュールをダウンロードして起動しますが、そのほかにYouTube動画を開いて再生回数を増やし、動画の人気を高めることができます。
また、Dr.Webウイルスデータベースには新たなマルウェア Android.DownLoader.3897、 Android.DownLoader.826.origin、 Android.BankBot.484.originが追加されています。これらのマルウェアはバンキング型トロイの木馬をダウンロードしてモバイルデバイス上にインストールしようとします。
その他の脅威
10月に検出されたその他のモバイルマルウェアに、モジュール構造を持つAndroidバンカー Android.BankBot.1781 があります。このマルウェアは管理サーバーのコマンドに従って様々なトロイの木馬プラグインをダウンロードするほか、C#スクリプトをダウンロードして実行することができます。 Android.BankBot.1781 はクレジットカードの情報やSMSメッセージ、その他の機密情報を盗みます。
サイバー犯罪者はGoogle Playや詐欺サイト、ハッキングしたサイトからAndroidモバイルデバイス向けの悪意のあるプログラムを拡散しています。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます
10.26 Doctor Web、Google Playから拡散されるダウンローダ型トロイの木馬を 51,000人以上のユーザーがインストールしていることを確認
2018年10月26日
株式会社Doctor Web Pacific
Android.DownLoader.819.origin は他の悪意のあるアプリケーションをAndroidデバイス上にインストールして起動させるダウンローダです。開発者Quoacによってゲームを装って拡散されています。 Android.DownLoader.819.origin の14のコピーが少なくとも51,100人のAndroidモバイルデバイスユーザーによってインストールされているということが、Doctor Webのエキスパートによって明らかになっています。Doctor Webは特定されたソフトウェアに関するデータをGoogle社に送り、本記事掲載時点で、該当するソフトウェアはGoogle Playから削除されています。
以下の表は検出された悪意のあるアプリケーションに関する情報です。
アプリ名 | ソフトウェアパッケージ名 | バージョン |
---|---|---|
Extreme SUV 4x4 Driving Simulator | com.quoac.extreme.suv.driving | 0.3 |
Moto Extreme Racer 3D | com.quoac.moto.extreme.racing | 0.3 |
SUV City Traffic Racer | com.suv.traffic.racer | 0.3 |
Sports Car Racing | com.quoac.sports.car.racing | 0.3 |
Crime Traffic Racer | com.quoac.crime.traffic.game | 0.3 |
Police Car Traffic | com.quoac.police.car.traffic | 0.3 |
Tank Traffic Racer | com.quoac.tank.traffic.racer | 0.3 |
Extreme Car Driving Simulator | com.quoac.extreme.car.driving.simulator | 0.3 |
Russian Cars Retro | com.quoac.russian.car.retro | 0.3 |
Motocross Beach Jumping - Bike Stund Racing | com.quoac.motocross.beach.jumping | 0.4 |
Luxury Supercar Simulator | com.quoac.luxury.supercar.simulator | 0.3 |
Crime Crazy Security | com.quoac.crime.crazy.security | 0.4 |
Furious Extreme Drift | com.quoac.furious.extreme.drift | 0.3 |
Drift Car Driving Simulator | com.quoac.car.driving.simulator | 0.5 |
Android.DownLoader.819.origin は Android.DownLoader.818.origin の亜種で、同じ機能を備えています。起動されると、SDカードへの読み書きアクセスを要求し、モバイルデバイス管理者として設定するようユーザーに促します。アクセスを取得すると、自身のアイコンをメインメニューから削除し、デバイス上で存在を隠します。その後、ユーザーは「ゲーム」を起動することはできず、悪意のあるアプリケーションはシステム設定のインストールされたプログラムのリスト内でしか見つかりません。
必要な権限が与えられると、このトロイの木馬はリモートサーバーに接続し、APKファイルをバックグラウンドでダウンロードします。次に、それをインストールするようユーザーに要求しします。ユーザーが拒否した場合は、インストールに同意するまで20秒ごとに同じダイアログを表示させます。トロイの木馬によってダウンロード・インストールされるファイルは、感染したスマートフォンやタブレットの画面がオンになる度に広告を表示させる Android.HiddenAds.728 というマルウェアです。
ダウンローダ型トロイの木馬 Android.DownLoader.819.origin のすべての既知の亜種と、それらによってダウンロードされるマルウェアはAndroid向けのDr.Web製品によって検出・駆除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Androidデバイスには保護が必要です!
Dr.Webを使用しましょう
- ロシアで最初に開発されたAndroid用アンチウイルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料でご利用できます