Threats to mobile devices
2018年4月28日
株式会社Doctor Web Pacific
2018年4月、Doctor Webは危険なバンキング型トロイの木馬 Android.BankBot.358.origin が拡散されていることを発見しました。このトロイの木馬はロシアのユーザーの6万台を超えるモバイルデバイスを感染させていました。また、4月には、多数の Android.Click トロイの木馬がGoogle Play経由で拡散されました。Google Play上では、 Android.RemoteCode.152.origin も検出されています。このトロイの木馬は悪意のあるモジュールをダウンロードし、それらを使用して広告バナーを作成してそれらをタップすることで、サイバー犯罪者に収益をもたらします。そのほか、リスクウェア Program.PWS.2 もまたGoogle Play上で発見されました。このリスクウェアはロシアでブロックされている Telegram へのアクセスを提供するものですが、求められる機密データの保護に対応していませんでした。また、4月には、 Android.Hidden.5078、 Android.Spy.443.origin、 Android.Spy.444.originなどのスパイウェアも発見されています。
4月の主な傾向
- ロシアのAndroidモバイルデバイスユーザーの間でバンキング型トロイの木馬の大拡散が発生
- Google Play上で悪意のあるプログラムやリスクウェアを発見
- Android向けの新たなスパイウェア型トロイの木馬を発見
4月のモバイル脅威
4月、Doctor Webは6万台を超えるAndroidスマートフォンやタブレットを感染させたバンキング型トロイの木馬 Android.BankBot.358.origin の拡散について報告しました。デバイスのほとんどはロシアのユーザーのもので、 Android.BankBot.358.origin の主な標的は大手銀行の顧客でした。
このトロイの木馬は、広告やローン、送金に関する情報を読むためにリンクを辿るようユーザーを誘導する様々な偽のSMSメッセージによって拡散されていました。リンクをタップしてしまったユーザーはサイバー犯罪者のWebサイトに飛ばされ、そこからモバイルデバイス上にバンキング型トロイの木馬がダウンロードされます。
口座から金銭を盗むために、このトロイの木馬はSMSコマンドを使用してモバイルバンキングを操作します。したがって、大手銀行のサービスにアクセスするための正規アプリケーションがデバイスにインストールされていない場合であっても、デバイスが感染すればユーザーは金銭を失ってしまう可能性があります。感染したデバイスの銀行口座から盗まれる可能性のある金銭の総額は7,800万ルーブルを超えます。この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Mobifun.4
- 別のAndroidアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.HiddenAds.248.origin
- Android.HiddenAds.253
- Android.HiddenAds.210.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Packed.15893
- プログラムパッカーで保護されたAndroidトロイの木馬です。
- Adware.Adtiming.1.origin
- Adware.Adpush.601
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
- Tool.SilentInstaller.1.origin
- Tool.SilentInstaller.6.origin
- ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。
GOOGLE PLAY上の脅威
4月、Doctor WebのスペシャリストはGoogle Play上で新たな悪意のあるプログラムを多数発見しました。それらの中には、 Android.Click ファミリーに属する様々なトロイの木馬が含まれていました。例として、4月の中旬には Android.Click.245.origin のシグネチャがDr.Webウイルスデータベースに追加されています。サイバー犯罪者は開発者 Roman Zencovおよび Sneilを名乗り、人気のアプリケーションを装って Android.Click.245.origin を拡散させていました。
起動されると、このトロイの木馬はサイバー犯罪者によって指定されたWebサイトをダウンロードしますが、それらのサイトはユーザーを騙して高額なコンテンツサービスに登録させるためのものです。感染させたデバイスがモバイル通信経由でインターネットに接続している場合、それらWebサイト上のボタンをいくつかタップすることで自動的に登録が行われます。この脅威に関する詳細については、こちらの記事をご覧ください。
その後、同様の悪意のあるプログラムがGoogle Play上で発見され、 Android.Click.246.origin および Android.Click.458 としてDr.Webのウイルスデータベースに追加されました。開発者 mendozapps を装って悪意のある約40のアプリケーションをGoogle Playから配信するなど、サイバー犯罪者はこれらのプログラムも Android.Click.245.origin と同じく無害なプログラムとして拡散していました。
開発者 Trinh Repasi および Vashashlaba は、同様のトロイの木馬 Android.Click.248.origin をアプリケーションViberやAvitoとして拡散させていました。この悪意のあるプログラムは Kotlin で書かれており、感染させたデバイスのIPアドレスをチェックし、ユーザーの所在地に応じて特定のWebを読み込むよう指示を受け取ります。サイバー犯罪者は Firebase クラウドサービスを介して Android.Click.248.origin を管理しています。
4月の下旬、Doctor WebのウイルスアナリストはGoogle Play上で Android.RemoteCode.152.origin を発見しました。このトロイの木馬は無害なプログラム内に隠されていました。この悪意のあるプログラムは見えない広告バナーを作成するための追加のモジュールを密かにダウンロードし、起動させます。 Android.RemoteCode.152.origin は、それらのバナーを自動的にタップすることで、ウイルス作成者に収益をもたらします。この脅威に関する詳細については、こちらの記事をご覧ください。
4月には、リスクウェア Program.PWS.2 もGoogle Play上で検出されています。このアプリケーションはロシアでブロックされているTelegramへのアクセスを可能にするものです。
このアプリケーションはアノニマイザー経由で動作しますが、ログイン認証情報やその他の機密情報を暗号化せずに送信します。そのため、ユーザーのあらゆる個人情報が危険にさらされます。Doctor Webでは、同様の危険なプログラムについて2017年6月に記事を発表しています。
以下の画像は Program.PWS.2 のアイコンと、動作中のインターフェースです。
スパイウェア
4月には、新たなスパイウェアが検出されました。スパイ行為を行うこれらのトロイの木馬はAndroidスマートフォンやタブレットのユーザーの個人情報を盗んでいました。 Android.Hidden.5078 としてDr.Webのウイルスデータベースに追加された、それらプログラムの1つは、 Viber、 Facebook Messenger、 WhatsApp、 WeChat、 Telegram、 Skype、 Weibo、 Twitter、 Lineなどの人気のあるメッセンジャーから、やり取りを盗みます。アンチウイルスによる検出を回避し、解析を困難にするため、このトロイの木馬はコード難読化とアンチデバッグを使用して作成されています。
4月に検出された、その他のAndroidスパイウェアに Android.Spy.443.origin と Android.Spy.444.origin があります。 Android.DownLoader.3557 としてDr.Webのウイルスデータベースに追加されたトロイの木馬が、それらをモバイルデバイス上にダウンロード・インストールします。このダウンローダは Dardesh と呼ばれるオンラインメッセンジャーとしてGoogle Playから拡散されていました。
起動されると、 Android.DownLoader.3557 はプログラムの動作に必要とされるコンポーネントをインストールするようユーザーに促しますが、実際はそのコンポーネントがスパイ行為を行うトロイの木馬の1つです。
インストールされて起動されると、 Android.Spy.443.origin と Android.Spy.444.origin はモバイルデバイスユーザーの操作をトラッキングし始めます。感染したスマートフォンやタブレットの所在地を追跡し、利用可能なすべてのファイルに関する情報を取得し、サイバー犯罪者にユーザーのドキュメントを送信し、SMSメッセージを送信または盗み、デバイスのマイクを使用して周囲の音を録音し、動画を撮り、通話を傍受し、連絡先リストからデータを盗み、さらにその他の動作も実行します。
サイバー犯罪者は、不正なサイトのみでなくGoogle Playからも引き続き積極的にAndroid向けトロイの木馬を拡散し続けています。悪意のあるアプリケーションや不要なアプリケーションからモバイルデバイスを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
26.04 Doctor Web : 見えない広告を使用してウイルス作成者に収益をもたらす、Google Play上のAndroidトロイの木馬
2018年4月26日
株式会社Doctor Web Pacific
Android.RemoteCode.152.origin は、2017年より知られているトロイの木馬 Android.RemoteCode.106.origin の新しいバージョンです。Doctor Webでは Android.RemoteCode.106.origin について11月に記事を発表しています。この悪意のあるプログラムはソフトウェアモジュールであり、ソフトウェア開発者が自分たちのアプリケーション内に埋め込んでGoogle Play経由で拡散していました。 Android.RemoteCode.106.origin の主な機能は、広告Webページをダウンロードしてそこにあるバナーをクリックするよう設計されている、補助プラグインを密かにダウンロード・起動することです。 Android.RemoteCode.106.origin の新しいバージョンも同様の動作を行います。
トロイの木馬が埋め込まれたアプリケーションが初めて起動された後、 Android.RemoteCode.152.origin は一定の間隔で自動的に動作を開始し、デバイスの再起動後に自動的に起動します。したがって、 Android.RemoteCode.152.origin が動作するために、モバイルデバイスのユーザーが感染したアプリケーションを絶えず使用する必要はありません。
この悪意のあるプログラムは起動時に管理サーバーからトロイの木馬のモジュールの1つ (Android.Click.249.origin としてDr. Webのウイルスデータベースに追加されています) をダウンロードし、起動させます。このコンポーネントは、アプリケーションを収益化するよう設計された MobFox SDK広告プラットフォームをベースにした、また別のモジュールをダウンロードして起動させます。これを使用して、トロイの木馬は様々な広告やバナーを密かに作成し、それらをクリックすることでウイルス作成者に収益をもたらします。また、 Android.RemoteCode.152.origin はモバイルマーケティングプラットフォーム AppLovin に接続し、さらなる収益を得るために同じく広告をダウンロードします。
Doctor Webのウイルスアナリストによって、このトロイの木馬の埋め込まれたアプリケーションが複数、Google Play上で発見されています。それらはすべてゲームアプリで、ダウンロード数は合計で650万件を超えています。Doctor Webは発見したプログラムについてGoogle社に報告を行い、本記事掲載時点でいくつかのアプリケーションがGoogle Playから削除されています。また、一部のアプリケーションでは、悪意のあるモジュールの削除されたアップデートがリリースされています。
Android.RemoteCode.152.origin は、次のプログラムで発見されています。
- Beauty Salon - Dress Up Game、バージョン5.0.8
- Fashion Story - Dress Up Game、バージョン5.0.0
- Princess Salon - Dress Up Sophie、バージョン5.0.1
- Horror game - Scary movie quest、バージョン1.9
- Escape from the terrible dead、バージョン1.9.15
- Home Rat simulator、バージョン2.0.5
- Street Fashion Girls - Dress Up Game、バージョン6.07
- Unicorn Coloring Book、バージョン134
Doctor Webのスペシャリストによるさらなる分析の結果、そのほかにも、すでにGoogle Playから削除されている、 Android.RemoteCode.152.origin を含んだ複数のアプリケーションが特定されています。
- Subwater Subnautica、バージョン1.7
- Quiet, Death! 、バージョン1.1
- Simulator Survival、バージョン0.7
- Five Nigts Survive at Freddy Pizzeria Simulator、バージョン12
- Hello Evil Neighbor 3D、バージョン2.24
- The Spire for Slay、バージョン1.0
- Jumping Beasts of Gang、バージョン1.9
- Deep Survival、バージョン1.12
- Lost in the Forest、バージョン1.7
- Happy Neighbor Wheels、バージョン1.41
- Subwater Survival Simulator、バージョン1.15
- Animal Beasts、バージョン1.20
以下の画像は、 Android.RemoteCode.152.origin の埋め込まれたソフトウェアの例です。
モバイルデバイスが悪意のあるプログラムや不要なプログラムに感染するリスクを減らすため、Doctor Webでは既知の信頼できる開発者によるアプリケーションのみをインストールすることを推奨しています。Android向けのDr.Webアンチウイルス製品は、 Android.RemoteCode.152.origin の既知の亜種をすべて検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
[Android.RemoteCode.152.originの詳細]
#Android, #Google_Play, #ad_software, #Trojan
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
16.04 Doctor Web : ユーザーを有料サービスに登録させる、Google Play上のトロイの木馬
2018年4月16日
株式会社Doctor Web Pacific
サイバー犯罪者は開発者Roman Zencovを名乗り、人気のアプリケーションを装って Android.Click.245.origin を配布していました。それらの中には、まだAndroid版のリリースされていないゲームMiraculous Ladybug & Cat Noir、春先に有名になった、電話を発信し電話番号を保存するアプリGetContact、Yandexアプリケーションに組み込まれていて個別のアプリとしては提供されていない音声AIアシスタントAliceなどがあります。トロイの木馬を含んだプログラムの1つは、Google Play上の新しい人気アプリ上位30にランクインしています。
Doctor Webは Android.Click.245.origin についてGoogle社に報告を行い、このトロイの木馬はGoogle Playから削除されましたが、2万を超えるユーザーが偽のアプリケーションをダウンロードしています。これらのプログラムはいずれもユーザーの期待する機能を持っていません。その唯一の目的はサイバー犯罪者のコマンドに従ってWebページを読み込むということです。
以下の画像は、Google Play上で発見された悪意のあるアプリケーションのページです。
起動されると、 Android.Click.245.origin はC&Cサーバーとの接続を確立し、サーバーからのタスクを待ちます。次に、感染させたデバイスのIPアドレスに応じて、読み込むべき特定のWebサイトへのリンクを取得します。 Android.Click.245.origin はこのリンクを辿り、WebViewを使用して特定のページを表示させます。デバイスがWi-Fi経由でインターネットに接続している場合、ユーザーは該当するボタンをクリックすることでアプリケーションをダウンロードするよう促されます。例えば、ユーザーが偽の音声AIアシスタントAliceを起動した場合、ダウンロードされるのは「Alice Yandex.apk」ファイルです。
ユーザーがファイルをダウンロードしようとすると、認証目的やダウンロードを確定するためという名目で、電話番号を入力するよう求められます。電話番号を入力したユーザーは、「ダウンロード」を完了するためにWebサイト上で入力しなくてはならない確認コードを受け取ります。ところが、ユーザーは目的のプログラムを入手する代わりに有料サービスに登録されてしまいます。
感染させたデバイスがモバイル通信経由でインターネットに接続している場合、トロイの木馬によって開かれたWebサイトはいくつかのリダイレクトを行い、その後、Google ChromeでWebサイトが表示されます。このページで、ユーザーは「Continue(続ける)」をクリックしてファイルをダウンロードするよう促され、ダウンロードが開始される別のサイトへとリダイレクトされます。「Start download(ダウロードを開始する)」をクリックしたユーザーは、 Wap-Clickテクノロジーを使用して高額なサービスに自動的に登録され、毎日使用料が引き落とされることになります。また、そのようなサービスへは、電話番号やSMSで受け取る確認コードの入力無しにアクセスすることができます。
タスクを受け取らなかった場合、トロイの木馬はインターネットから複数の写真をダウンロードし、それらを画面上に表示させます。
不要なサービスにユーザーを登録させる方法は、サイバー犯罪者にとって最も一般的かつ良く知られた不正な収益源となっています。中でも特に、Wap-Clickを使用したそのような高額サービスへの登録は、登録についてユーザーに知らせることがなく、悪徳なコンテンツプロバイダによって使用されることが多いことから、非常に危険です。
お金を失うことを防ぐため、スマートフォンやタブレットのユーザーはWebサイトを閲覧する際は慎重になり、疑わしいリンクやボタンをクリックしないようにしてください。また、良く知られた信頼できる開発者によって配信されているソフトウェアのみをインストールするようにし、アンチウイルスを使用することをお勧めします。
Dr.Web for Androidは Android.Click.245.origin の既知の亜種をすべて検出します。したがって、Dr.Webのユーザーに危害が及ぶことはありません。
#Android, #Google_Play, #mobile, #paid_subscription, #fraud
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
05.04 Doctor Web : Sberbank顧客の7,800万ルーブル以上が脅威にさらされる
2018年4月5日
株式会社Doctor Web Pacific
この Android.BankBot.358.origin は2015年よりDoctor Webに知られています。ウイルスアナリストは、 Sberbankのロシアの顧客を攻撃するよう設計された Android.BankBot.358.origin の新たな亜種が、すでに6万をこえるモバイルデバイスを感染させているものと見ています。ウイルス作成者はこの悪意のあるアプリケーションの複数の異なるバージョンを拡散させていることから、その被害者の数は大幅に増加する可能性があります。サイバー犯罪者が感染したデバイスの銀行口座から盗むことのできる総額は7,800万ルーブルを超えます。さらに、サイバー犯罪者は携帯電話のアカウントから270万ルーブルを盗むことができます。
以下の画像は、感染したデバイスに関する情報と検出されたボットネットの1つに関する統計を含んだ Android.BankBot.358.origin の管理パネルのセクションです。
このバンキング型トロイの木馬は、サイバー犯罪者および悪意のあるプログラム自体の両方から送信される偽のSMSメッセージ経由で拡散されています。メッセージの多くは Avito.ru ユーザーからのものを装って送信されています。これらのSMSメッセージは、ユーザーに対し、リンクを辿り、投稿した広告に対するレスポンスを読むよう提案するものです。例えば、「Good day, are you interested in an exchange? (こんにちは、取引しませんか?)」という文章が多く使用されています。また、モバイルデバイスユーザーは、ローンやモバイル送金、銀行口座への送金に関する偽の通知を受け取る場合もあります。以下は、トロイの木馬のサーバーの管理パネルで設定され、サイバー犯罪者のコマンドに応じて送信されたフィッシングメッセージの例です。
ユーザーがメッセージのリンクを辿ると、サイバー犯罪者のWebサイトに飛ばされ、そこからモバイルデバイス上に悪意のあるAPKファイルがダウンロードされます。ダウンロード後にトロイの木馬がインストールされる可能性を向上させるため、サイバー犯罪者は Android.BankBot.358.origin に実際のAvitoラベルを使用することで信憑性を高めています。このトロイの木馬の一部の亜種は、Visaやウエスタンユニオン決済システムを使用するためのソフトウェアなどの他のプログラムとして拡散される場合があります。
Android.BankBot.358.origin は初回起動時にデバイス管理者権限へのアクセスを要求します。この要求は、ユーザーが諦めて求められるすべての権限を許可するまでしつこく続けられます。必要なすべての特権を取得した後、トロイの木馬はインストールエラーに関する偽のメッセージを表示し、ホーム画面上のプログラムのリストから自身のアイコンを削除します。こうして Android.BankBot.358.origin はスマートフォンやタブレット上で自身の存在を隠そうと試みます。ユーザーが管理者のリストからトロイの木馬を削除しようとすると、 Android.BankBot.358.origin はセルフプロテクション機能を有効にし、システム設定の該当するウィンドウを閉じます。また、トロイの木馬の一部のバージョンは、独自のロック画面PINコードを追加でインストールします。
デバイスを感染させた後、 Android.BankBot.358.origin はC&Cサーバーとの接続を確立し、感染が成功した旨を通知して、その後の指示を待ちます。このトロイの木馬の主な目的はロシア語圏の Sberbankの顧客から金銭を盗むことで、その主要な攻撃ベクターはフィッシングです。サイバー犯罪者は、偽のメッセージを含むウィンドウで感染したデバイスをブロックするためのコマンドをトロイの木馬に対して送信します。このウィンドウは、リモートバンキングならびに決済システムである Sberbank Onlineの外観を模倣し、 Sberbankやその他の金融機関の顧客であるかどうかに関係なく、すべてのユーザーに対して表示されます。メッセージの内容は、1万ルーブルの送金を受け取ることができると通知するものとなっています。お金を受け取るために、スマートフォンまたはタブレットのユーザーは、カード番号、名前、有効期限、CVVセキュリティコードなどのバンクカード情報を提供するよう促されます。さらに、この悪意のあるウィンドウは必要なすべてのデータを入力しない限り閉じることができず、デバイスはブロックされたままになります。そのため、ユーザーは「銀行口座への送金」を確定しなければならず、入力されたバンクカード情報はサイバー犯罪者に送信されます。その結果、犯罪者は被害者の銀行口座からすべての金銭を盗むことができるようになります。
ただし、本記事掲載時点において、このトロイの木馬の既存の亜種はバンクカード情報について完全なチェックを行っておらず、どのようなデータを入力してもブロックは解除されます。したがって、 Android.BankBot.358.origin の攻撃を受けたモバイルデバイスユーザーはフィッシングウィンドウを閉じ、アンチウイルスを使用してこの悪意のあるプログラムを削除することができます。その方法は、偽のフォームに16~18桁からなる任意のカード番号を入力し、2017年~2030年の間の有効期限を指定するというものです。絶対に、実際の Sberbankまたはその他のカードの情報を入力しないようにしてください。サイバー犯罪者が口座へのアクセスを取得してしまいます。
しかしながら、偽の情報が入力されたと気付いたウイルス作成者がスマートフォンやタブレットを再度ブロックするためのコマンドを送信することを防ぐことはできません。そのため、フィッシングウィンドウが閉じた後に、できるだけ早くアンチウイルスを使用してデバイスをスキャンし、トロイの木馬を削除する必要があります(ダウンロードはこちらから : https://download.drweb.co.jp/android/)。
ユーザーがモバイルバンキングサービスを使用している場合、 Android.BankBot.358.origin はそれを使用して被害者の口座から金銭を盗もうとします。トロイの木馬は、オンラインバンキングシステムで動作を実行するためのコマンドを含んだSMSメッセージを密かに送信します。その後、ユーザーの現在のカード残高を確認し、サイバー犯罪者の銀行口座またはモバイルアカウントに自動的に送金を行います。以下の画像は、リモートバンキングサービスを利用して金銭を盗む Android.BankBot.358.origin の例です。
さらなる収益を得るために、 Android.BankBot.358.origin の一部のバージョンでは、禁止されている動画を見たことに対する罰金を要求するメッセージを表示させることで、感染したデバイスをブロックすることができます。また、その悪意のある動作を隠すため、このトロイの木馬の複数の亜種は、システムアップデートのインストールに関する通知によって、感染したスマートフォンやタブレットの画面をブロックすることができます。
ウイルス作成者は、C&Cサーバーの管理パネルでウィンドウブロックのパラメータ(表示されるメッセージのテキスト、表示期間、および必要な身代金など)を設定することができます。以下は、コントロールパネルの該当するセクションの例です。
金銭を盗んだり、感染したデバイスをブロックする以外に、 Android.BankBot.358.origin は他の悪意のある動作も実行することができます。 Android.BankBot.358.origin はサイバーから受け取ったコマンドに応じて以下の動作を実行します。
- 自身を更新する
- 連絡先リストに含まれたすべての番号に対してSMSメッセージを送信する
- コマンド内で指定されたすべての番号に対してSMSメッセージを送信する
- サイバー犯罪者によって指定されたWebサイトを読み込む
- デバイス上に保存されたすべてのSMSメッセージをサーバーに送信する
- 連絡先リスト内の連絡先に関する情報を取得する
- 偽の受信SMSメッセージを作成する
Dr.Web for Androidは Android.BankBot.358.origin のすべての既知の亜種を検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。Doctor Webでは、 Android.BankBot.358.origin に関する情報をすでに Sberbankに提供しています。また、このトロイの木馬について引き続き監視を行っていきます。
#Android #banker #mobile #ransom #banking_Trojan
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
QRコードを使用してDr.Web Security Space for Androidをダウンロード
2018年4月3日
株式会社Doctor Web Pacific
2018年3月、Doctor WebはAndroidスマートフォンの数十のモデルでファームウェア内に埋め込まれていた Android.Triada.231 に関する調査の結果を公表しました。また、Google Play上で危険なプログラムが多数検出されています。それらの中には、ロシアのユーザーから金銭を盗むよう設計されたAndroid向けのバンキング型トロイの木馬 Android.BankBot.344.origin が含まれています。また、あらゆるWebページを読み込んで表示させることのできる Android.Click に属するトロイの木馬も検出されています。そのほか、3月には Android.BankBot.149.origin のソースコードを基に作成された新たなバンキング型トロイの木馬がDoctor Webのスペシャリストによって発見されました。
3月の主な傾向
- Androidモバイルデバイスの数十のモデルでファームウェア内に埋め込まれた危険なトロイの木馬を検出
- Google Play上で悪意のあるプログラムを検出
- 新たなバンキング型トロイの木馬の出現
3月のモバイル脅威
3月、Doctor WebはAndroidデバイスの40を超えるモデルのファームウェア内に埋め込まれたトロイの木馬 Android.Triada.231 の検出について発表しました。2017年より知られているこの悪意のあるプログラムは、動作中のすべてのアプリケーションのプロセスを感染させ、サイバー犯罪者のコマンドに応じて様々な動作を(ソフトウェアをインストール・削除するなど)密かに実行することができます。感染したデバイスの製造メーカーに対してDoctor Webより報告を行ったところ、一部のメーカーからは Android.Triada.231 の削除されたファームウェアのアップデートが直ちにリリースされました。
Dr.Web for Androidによる統計
- Android.HiddenAds.253
- Android.HiddenAds.246.origin
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Mobifun.4
- 別のAndroidアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.RemoteCode.117.origin
- 悪意のあるものを含む、様々なプログラムモジュールをダウンロード・起動させるトロイの木馬です。
- Android.Packed.15893
- プログラムパッカーで保護されたAndroid向けトロイの木馬です。
- Adware.Adtiming.1.origin
- Adware.Adpush.601
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
- Tool.SilentInstaller.1.origin
- Tool.SilentInstaller.6.origin
- ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。
バンキング型トロイの木馬
3月の初旬、Doctor Webのウイルスアナリストは、ロシアの様々な金融機関のオンラインバンキングサービスにアクセスするためのバンキングアプリケーションを装って拡散されている Android.BankBot.344.origin をGoogle Play上で検出しました。この悪意のあるプログラムはユーザーに対し、ログイン認証情報を入力してモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するよう促します。入力されたデータはすべてサイバー犯罪者に送信され、ユーザーの口座から金銭を盗むために使用されます。この脅威に関する詳細については、こちらの記事をご覧ください。
3月中旬、Doctor Webは Android.BankBot.149.origin のソースコードを基に作成された新たなAndroid向けバンキング型トロイの木馬について報告しました。 Android.BankBot.325.origin と名付けられたそのうちの1つは、バンキングプログラムのほか、ソーシャルネットワークや仮想通貨を使用するためのソフトウェアの起動をトラッキングし、それらのウィンドウの前面に偽の認証フォームを表示させます。ユーザーが入力したログイン情報やその他の機密情報は Android.BankBot.325.origin によってサイバー犯罪者に送信されます。また、ウイルス作成者はこのトロイの木馬をサイバースパイ行為や感染したデバイスへのリモートアクセスに使用していました。
GOOGLE PLAY上のトロイの木馬
3月、Doctor Webのスペシャリストは Android.Click ファミリーに属するトロイの木馬を含んだ70を超えるプログラムをGoogle Play上で検出しました。 Android.Click.415、 Android.Click.416、 Android.Click.417と名付けられた悪意のあるアプリケーションは、人気のソフトウェアを装って、または偽のゲームやレシピコレクション、編み物マニュアルに含まれて拡散されていました。これらトロイの木馬はC&Cサーバーから受け取ったコマンドに応じて、偽のページを含むあらゆるWebページを読み込み、表示させることができます。
Androidモバイルデバイス向けの悪意のあるプログラムは、サイバー犯罪者がそれらを使用して機密情報を盗んだり、感染したスマートフォンやタブレットをコントロールしたり、銀行口座から金銭を盗んだりすることを可能にすることから、深刻な脅威となっています。トロイの木馬は依然としてGoogle Playから拡散され、ファームウェア内に埋め込まれています。悪意のあるアプリケーションや不要なアプリケーションからモバイルデバイスを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
20.03 Doctor Web : サイバー犯罪者によって広く用いられるツールと化した バンキング型トロイの木馬 Android.BankBot.149.origin
2018年3月20日
株式会社Doctor Web Pacific
Android.BankBot.149.origin は典型的な一連の機能を持つバンキング型トロイの木馬として登場しました。様々な金融機関のオンラインバンキングシステムから口座のユーザー名とパスワードを盗むためのフィッシングウィンドウを表示させるほか、クレジットカードの情報を盗むことができ、また、送金確認のワンタイムパスワードにアクセスするために受信するSMSを横取りする機能を備えていました。このトロイの木馬のソースコードが一般に公開されると、ウイルス作成者たちはそれを基に、似たようなトロイの木馬を多数作成するようになりました。それと同時に、犯罪者がそれらトロイの木馬をGoogle Playから次々に拡散させました。そのようなバンキング型トロイの木馬には、無害で便利なアプリケーションを装って拡散されていた Android.BankBot.179.origin、 Android.BankBot.160.origin、 Android.BankBot.163.origin、 Android.BankBot.193.origin、 Android.Banker.202.originなどがあります。
Android.BankBot.250.origin としてDr.Webウイルスデータベースに追加されているトロイの木馬もまた、 Android.BankBot.149.origin のコードを使用して作成されたまた別のトロイの木馬です。Anubisとしても知られるこのトロイの木馬の最初のバージョンは2017年11月にDoctor Webのウイルスアナリストによって発見されました。これらの亜種は Android.BankBot.149.origin の機能をほぼ完ぺきにコピーしています。このバンキング型トロイの木馬は以下の動作を実行することができます:
- コマンドで指定された番号に対して、特定のテキストを含んだSMSメッセージを送信する
- USSDリクエストを実行する
- デバイス上に保存されたSMSメッセージのコピーを管理サーバーに送信する
- インストールされているアプリケーションに関する情報を受け取る
- コマンドで指定されたテキストを含むダイアログボックスを表示させる
- 追加の動作許可を要求する
- コマンドで指定された内容のプッシュ通知を表示させる
- トロイの木馬のコード内で設定されている内容のプッシュ通知を表示させる
- サーバーWebページから受け取ったコンテンツを表示させるデバイスウィンドウWebViewの画面をブロックする
- 連絡先リストにあるすべての番号をサーバーに送信する
- 連絡先リストにあるすべての番号に対してSMSメッセージを送信する
- デバイスとその現在位置に関する情報にアクセスする
- アクセシビリティ機能 (Accessibility Service) へのアクセスを要求する
- 感染させたスマートフォンやタブレットのIPアドレスを取得する
- 自身の設定ファイルをクリーンアップし、動作を停止する
以下の画像は、トロイの木馬 Android.BankBot.250.origin のコントロールパネルの一例です。
Android.BankBot.250.origin の新しいバージョンの登場に伴い、その機能は次第に拡張されていきました。 Android.BankBot.325.origin と名付けられたトロイの木馬には、感染したデバイスにリモートでアクセスする機能が備わっています。その結果、このバンキング型トロイの木馬はリモート管理ユーティリティまたはRAT (Remote Administration Tools:リモート管理ツール) として動作することができます。また、感染したスマートフォンやタブレットのメモリ内に保存されたファイルのリストを確認し、それらのファイルを管理サーバーにダウンロードしたり削除したりすることができるという機能のほか、画面上で起こっているすべてのことを監視し、スクリーンショットを作成してそれらを犯罪者に送信するという新たな機能が加わっています。さらに、 Android.BankBot.325.origin はウイルス作成者のコマンドに応じて内蔵マイクで周囲の音声を聞くことができます。そのため、サイバースパイ行為に使用される可能性があります。以下の画像は、トロイの木馬の管理サーバーの管理パネルのセクションです。このセクションで、犯罪者はトロイの木馬にコマンドを与えることができます。
バンキング型トロイの木馬の分析結果により、ウイルス作成者は、デスクトップシステムへのリモートアクセスシステムを表し、Virtual Network Computing (ヴァーチャル・ネットワーク・コンピューティング) の略語である「VNC」をメソッド名とコントロールコマンド内で使用しているということが示されていました。ところが、これは Android.BankBot.325.origin では導入されておらず、犯罪者はその名前を自分たちの便宜のためのみに使用しています。いずれにしても、サイバー犯罪者は感染したデバイスを遠隔操作する能力を身につけ始め、バンキング型トロイの木馬をより普遍的な悪意のあるアプリケーションへと変化させていると結論付けることができます。以下の画像は Android.BankBot.325.origin のコード片です。前述の略語が使用されています。
Doctor Webのウイルスアナリストによって調査された Android.BankBot.325.origin の最新の亜種の1つには、さらなる機能が追加されていました。以下は、そのリストです。
- コマンドで指定された番号に対して、特定のテキストを含んだSMSメッセージを送信する
- USSDリクエストを実行する
- アプリケーションを起動させる
- 管理サーバーのアドレスを変更する
- デバイス上に保存されたSMSメッセージのコピーを管理サーバーに送信する
- インストールされているアプリケーションに関する情報を受け取る
- キーボードで入力された文字を記録する (キーロガー)
- 追加の動作許可を要求する
- コマンドで指定されたテキストを含むダイアログボックスを表示させる
- コマンドで指定された内容のプッシュ通知を表示させる
- トロイの木馬のコード内で設定されている内容のプッシュ通知を表示させる
- 連絡先リストにあるすべての番号をサーバーに送信する
- 連絡先リストにあるすべての番号に対してSMSメッセージを送信する
- サーバーWebページから受け取ったコンテンツを表示させるデバイスウィンドウWebViewの画面をブロックする
- アクセシビリティ機能 (Accessibility Service) へのアクセスを要求する
- 通話をリダイレクトする
- コマンドで指定されたWebサイトをブラウザで開く
- WebViewを使用してWebページへのリンクを開く
- ファイルを暗号化して身代金を要求する
- ファイルを復号化する
- デバイスのマイクを使用して周囲の音声を録音する
- デバイスとその現在位置に関する情報にアクセスする
- デバイスのIPアドレスを取得する
- 設定ファイルをクリーンアップし、トロイの木馬を停止させる
以下の画像は、犯罪者が管理パネルを介してバンキング型トロイの木馬に送信することのできるコマンドの一覧を示しています。
バンキング型トロイの木馬に対して送信されるコマンドのほとんどは同じパネル内で設定されます。たとえば、以下の画像はファイルの暗号化設定のものですが、ウイルス作成者は暗号化キー、 Android.BankBot.325.origin が被害者から要求する身代金の金額 (例:ビットコインで) 、送金のための e-wallet (イーウォレット) 番号を設定することができます。
同じパネル内で、サイバー犯罪者が必要とするアプリケーションをユーザーに起動させるための偽の通知を設定することができます。そのアプリケーションが起動されると、トロイの木馬はログインとパスワード、およびその他の機密情報を要求するフィッシングフォームを表示させ、それらの情報をウイルス作成者に送信します。
同様に、フィッシングウィンドウも追加のパラメータで設定されます。
Android.BankBot.325.origin は、バンキングサービス、決済システム、ソーシャルネットワークにアクセスするためのソフトウェアを含む、160を超えるプログラムの起動時に偽の認証フォームを表示させます。さらに、それらのプログラムには、仮想通貨を扱うための人気のアプリケーションが追加されています。 Android.BankBot.325.origin は、そのようなプログラムからログインとパスワードを盗もうと試みる最初のバンキング型トロイの木馬ではありませんが、本物のアプリケーションのインターフェースに似せたフィッシングウィンドウの外観を持っています。以下の画像は、そのような偽の認証フォームの例です。
ウイルスアナリストによると、ロシア、ウクライナ、トルコ、英国、ドイツ、フランス、米国、香港、ハンガリー、イスラエル、日本、ニュージーランド、ポーランド、ルーマニアのユーザーがこのトロイの木馬による攻撃を受けています。ただし、このリストには、サイバー犯罪者が興味を示した国が新たに加わっていく可能性があります。
Doctor Webのスペシャリストは、 Android.BankBot.325.origin の作成者は引き続きこのトロイの木馬の機能を向上させ続け、感染したスマートフォンやタブレットの遠隔操作に新たな機能を追加していくものと予測しています。新たなスパイ機能が追加される可能性があります。Dr.WebのAndroid向けアンチウイルス製品は、この悪意のあるアプリケーションのすべての既知の亜種を検出します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
#Android #banking_Trojan #bitcoin
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
13.03 Doctor Web : 偽の人気アプリケーションをフィッシングに使用する サイバー犯罪者
2018年3月13日
株式会社Doctor Web Pacific
検出されたプログラムは、人気アプリケーションと同じ名前、そしてそっくりなアイコンを持っています。Doctor Webのセキュリティリサーチャーによって、偽のQIWIアプリケーション(ロシアの決済サービスプロバイダ)、 Sberbank Online、 Odnoklassniki およびVK(人気のソーシャルネットワーク)、 NTV(ロシアのテレビチャンネル)が見つかっています。以下の画像では、サイバー犯罪者がどのように被害者を騙すのかが分かります。左の画像は、Google Play上で簡単に見つけることのできる偽アプリケーションのページです。そして右の画像は本物のアプリケーションのページです。
偽のアプリケーションは起動される度にC&Cサーバーに接続し、サーバーは「none」パラメータで応答するか、またはサイバー犯罪者によって指定されたWebリンクを送信します。パラメータを受信すると、悪意のあるプログラムはリソースから複数の画像を抽出してユーザーに対して表示します。Webリンクを受信した場合はWebページを読み込み、表示させます。このページはWebViewを介してアプリケーション内で直接開かれます。ユーザーには、ターゲットとなるインターネットアドレスへのリンクは表示されません。表示されるWebページのコンテンツはさまざまです。例えば、スマートフォンユーザーに対しては、オンラインバンキングシステムやソーシャルネットワークの偽のログインフォームが表示されます。その上、Androidスマートフォンやタブレットのユーザーは、フィッシング攻撃を受ける危険性があります。この機能は深刻な脅威となることから、当該ソフトウェアは Android.Click.415 としてDr.Webウイルスデータベースに追加されました。
上記トロイの木馬の他に、70を超える同じようなプログラムがDoctor Webセキュリティリサーチャーによって発見されており、27万人以上のユーザーがそれらをダウンロードしています。それらのアプリケーションには、偽のゲーム、レシピコレクション、編み物マニュアルなどがあり、その一部には謳われた機能を実際に実行するものもあります。しかしながら、 Android.Click.415 と同様にC&CサーバーからあらゆるWebページのリンクを受け取ることもでき、それらのWebページを読み込み、ユーザーに対して表示させる機能を備えています。これらのプログラムもまた、 Android.Click.416 および Android.Click.417 としてウイルスデータベースに追加されました。また、悪意のあるアプリケーションのさまざまな亜種が、動作中にモバイルデバイスの画面上に常に広告を表示させます。
Tezov apps、 Aydarapps、 Chmstudio、 SVNGamesの少なくとも4つのソフトウェアデベロッパーがトロイの木馬を拡散しています。Doctor Webでは、検出されたすべての悪意のあるアプリケーションについてGoogle社に報告しましたが、本記事掲載時点で、アプリケーションは未だダウンロード可能な状態となっています。
Doctor Webでは、たとえGoogle Playのような信頼できるソースからアプリケーションをインストールする場合であっても、ソフトウェアデベロッパーの名前に注意を払う必要があるということにユーザーの注意を喚起しています。サイバー犯罪者は、アプリの外観をコピーし、似たような名前を使用することで、ソフトウェア配信サービスで簡単に見つけることのできる偽のアプリをユーザーにインストールさせることができます。Dr.WebのAndroid向けアンチウイルス製品は Android.Click.415 、 Android.Click.416 、 Android.Click.417 のすべての既知の亜種を検出・削除することができます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
05.03 Doctor Web、ロシアの銀行利用者を攻撃するよう設計されたAndroid向け トロイの木馬をGoogle Play上で発見
2018年3月5日
株式会社Doctor Web Pacific
Android.BankBot.344.origin と名付けられたこのトロイの木馬は「VSEBANKI – Vse banki v odnom meste(ALLBANKS – すべての銀行を一か所に)」と呼ばれるアプリケーションに隠されていました。サイバー犯罪者は2月25日にアプリケーションをGoogle Play上にアップロードし、500人近いモバイルユーザーが実際にアプリをダウロードしています。さらに、犯罪者は「ラッキーな」ユーザーに代わってわざわざ偽のレビューまで投稿しています。Doctor Webのスペシャリストはこのトロイの木馬についてGoogle社に報告を行い、その後直ちにトロイの木馬はGoogle Playから削除されました。
バンキングアプリケーションを装ってGoogle Playから拡散されたトロイの木馬のデザイン
Android.BankBot.344.origin は、同じくGoogle Playから拡散され、2月に発見された悪意のあるプログラム Android.BankBot.336.origin の亜種です。以前のバージョンと同様、様々な金融機関のオンラインサービスへのアクセスを提供するアプリケーションを装って拡散されていますが、ウクライナのユーザーを標的としていた以前のバージョンと異なり、 Android.BankBot.344.origin はロシアの銀行の利用者を攻撃するよう設計されています。実際には、アプリケーションには提供されるはずの機能は備わっていません。
アプリケーションを使用してユーザーがオンラインアカウントにアクセスすることができるとされるロシアの銀行のリスト
Android.BankBot.344.origin はユーザーに対し、ログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するよう促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。その結果、犯罪者はユーザーから金銭を盗むことが可能になります。以前のバージョンと同様、 Android.BankBot.344.origin は受信するSMSメッセージを横取りすることができます。
フィッシング入力フォームの例。金融機関のオンラインバンキングにアクセスするためにログイン認証情報を求められる。
フィッシング入力フォームの例。ユーザーはログインし、クレジットカード情報を入力するよう促される。
Doctor Webでは、オンラインバンキングシステムを使用する際は金融機関の公式アプリケーションのみをインストールするよう推奨しています。Dr.Web for Androidは Android.BankBot.344.origin の既知の亜種をすべて検出します。そのため、Dr.Webユーザーに危害が及ぶことはありません。
#Android, #Google_Play, #banking_Trojan
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
01.03 Doctor Web : 40を超えるAndroidデバイスがメーカーからの出荷時に既に感染
2018年3月1日
株式会社Doctor Web Pacific
Android.Triada.231 は、危険なAndroid.Triadaトロイの木馬の1つです。これらトロイの木馬は重要なシステムコンポーネントであるZygoteのプロセスを感染させます。このプロセスはあらゆるアプリケーションの起動に使用されるものです。モジュール内に挿入されたトロイの木馬は、実行中の他のアプリケーションに侵入します。これにより、ユーザーの介入なしに様々な悪意のある動作を実行(アプリケーションを密かにダウンロード・起動する)することが可能になります。 Android.Triada.231 の主な特徴は、 libandroid_runtime.so システムライブラリ内に埋め込まれているという点にあります。このトロイの木馬は個別のプログラムとして拡散されるのではなく、製造過程でデバイスのファームウェア内に侵入します。ユーザーが購入するとき、デバイスは既に感染していることになります。
昨年の夏、 Android.Triada.231 を検出したDoctor Webのセキュリティリサーチャーは、感染したデバイスを製造しているメーカーに対して報告を行いました。しかしながら、新しいスマートフォンのモデルは依然としてこのトロイの木馬に感染し続けています。たとえば、2017年12月に発売されたLeagoo M9スマートフォンでの検出があげられます。その上、Doctor Webアナリストの調査によると、このスマートフォンのファームウェアへのトロイの木馬の埋め込みは、Leagooのパートナーである上海のソフトウェアデベロッパーからの要求に応じて行われたものであるということが示されています。この企業は、モバイルOSのイメージ内に含むために自社のアプリケーションの1つをLeagooに提供し、そのコンパイル前にシステムライブラリ内に第三者製コードを追加するよう指示していました。残念なことに、この問題のある要求についてメーカーはなんら疑問を抱きませんでした。その結果、最終的に Android.Triada.231 は易々とスマートフォンへの侵入を果たすこととなったのです。
このアプリケーションを分析した結果、Android.MulDrop.924と同じ証明書を使って署名されているということが明らかになりました。このトロイの木馬について、Doctor Webでは2016年に記事を掲載しています。 Android.Triada.231 の拡散には、モバイルOSイメージ内に追加のプログラムを含むよう要求したデベロッパーが、直接的または間接的に関わっているものと考えられます。
現時点で、 Android.Triada.231 は40を超えるデバイスモデルのファームウェアで検出されています:
- Leagoo M5
- Leagoo M5 Plus
- Leagoo M5 Edge
- Leagoo M8
- Leagoo M8 Pro
- Leagoo Z5C
- Leagoo T1 Plus
- Leagoo Z3C
- Leagoo Z1C
- Leagoo M9
- ARK Benefit M8
- Zopo Speed 7 Plus
- UHANS A101
- Doogee X5 Max
- Doogee X5 Max Pro
- Doogee Shoot 1
- Doogee Shoot 2
- Tecno W2
- Homtom HT16
- Umi London
- Kiano Elegance 5.1
- iLife Fivo Lite
- Mito A39
- Vertex Impress InTouch 4G
- Vertex Impress Genius
- myPhone Hammer Energy
- Advan S5E NXT
- Advan S4Z
- Advan i5E
- STF AERIAL PLUS
- STF JOY PRO
- Tesla SP6.2
- Cubot Rainbow
- EXTREME 7
- Haier T51
- Cherry Mobile Flare S5
- Cherry Mobile Flare J2S
- Cherry Mobile Flare P1
- NOA H6
- Pelitt T1 PLUS
- Prestigio Grace M5 LTE
- BQ-5510 Strike Power Max 4G (Russia)
このリストは包括的なものではありません。遥かに多くの数のスマートフォンモデルが感染している可能性があります。
このような大規模な Android.Triada.231 の拡散は、Androidデバイスメーカーはセキュリティの問題とシステムコンポーネント内へのトロイの木馬のコードの侵入についてほとんど注意を払っていないということを示すものです。これはエラーによるものか、あるいは悪意を持って意図的に行われたものであると考えられ、常習的なものである可能性があります。
Dr.Web for Androidは Android.Triada.231 のすべての亜種を検出します。お使いのモバイルデバイスが感染しているかどうかを確認するには、徹底的なスキャンを行ってください。root権限のあるDr.Web Security Space for Androidは、感染したシステムコンポーネントを修復することで Android.Triada.231 を駆除することができます。デバイスのroot権限を使用できない場合は、OSのクリーンなイメージをインストールすることでこのトロイの木馬を削除することができます。クリーンなイメージを入手するにはデバイスのメーカーに連絡してください。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2018年2月28日
株式会社Doctor Web Pacific
2月、Doctor Webのセキュリティリサーチャーは、デバッグモードが有効になった様々なAndroidデバイスを感染させるマイニング型トロイの木馬を検出しました。そのほか、機密情報と金銭を盗む Android.BankBot.336.origin がユーザーを脅かしました。
2月の主な傾向
- 一部のAndroidデバイスを感染させるマイニング型トロイの木馬の拡散
- 新たなバンキング型トロイの木馬の拡散
2月のモバイル脅威
2月には Android.CoinMine.15 が広く拡散されました。サイバー犯罪者は、仮想通貨Moneroをマイニングするためにこのトロイの木馬を使用していました。 Android.CoinMine.15 はワームとして設計され、ネットワークに接続されたAndroidスマートフォンやタブレット、スマートテレビ、ルーター、メディアプレイヤーを感染させます。ただし、感染させることができるのは、デバイスでAndroid Debug Bridge(ADB)デバッグモードが有効になっている場合のみです。デバイスを感染させると、トロイの木馬のコンポーネントの1つが別のデバイスを検出し、トロイの木馬のコピーをそのデバイス上にインストールします。
Dr.Web for Androidによる統計
- Android.RemoteCode.121.origin
- Android.RemoteCode.117.origin
- 悪意のあるものを含む、様々なプログラムモジュールをダウンロード・起動させるトロイの木馬です。
- Android.HiddenAds.253
- Android.HiddenAds.222.origin
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.Mobifun.4
- 別のマルウェアアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Adware.Adpush.601
- Adware.Jiubang.2
- Adware.Jiubang.1
- Adware.Leadbolt.12.origin
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールです。モバイルデバイス上に迷惑な広告を表示させます。
- Tool.SilentInstaller.1.origin
- ユーザーの介入なしに密かにアプリケーションを起動するよう設計されたリスクウェアです。
バンキング型トロイの木馬
2月には、Google Play上で Android.BankBot.336.origin が検出されています。サイバー犯罪者は、様々なインターネットバンキングシステムで動作するよう設計された汎用アプリケーションとしてこのトロイの木馬を拡散していました。 Android.BankBot.336.origin はクレジットカードに関する情報に加えて、ユーザーのアカウントからログインとパスワードを盗みます。その後、トロイの木馬はユーザーの銀行口座からサイバー犯罪者へと密かに送金を行います。
ウイルス開発者はAndroid向けの悪意のあるプログラムを継続的に改良し、既知の手法や革新的な手法を駆使してそれらを拡散し続けています。Google Play上での様々なトロイの木馬の発見は依然として後を絶ちません。これらの脅威からスマートフォンやタブレット、その他のデバイスを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2018年2月8日
株式会社Doctor Web Pacific
このAndroid向けトロイの木馬は仮想通貨 Monero(XMR) をマイニングするよう設計されており、ユーザーの操作なしに他のデバイスを感染させることができます。 Android.CoinMine.15 は、Android Debug Bridge(ADB) のインターフェースが使用する5555番ポートの開いているAndroidデバイスを感染させます。スマートテレビだけでなく、スマートフォンやタブレット、セットトップボックス、ルーター、メディアプレイヤー、レシーバーがこのトロイの木馬に感染する可能性があります。すなわち、ネットワークデバッグを使用するあらゆるデバイスが対象となります。Androidを搭載したシングルボードコンピューター Raspberry Pi 3もまた、もう1つの攻撃対象です。
このトロイの木馬は次の方法で拡散されます。 nohup、 sss、 bot.datファイルと共に droidbot.apk アプリケーションが感染したホスト上に、感染した別のデバイスを使用してインストールされます。次に、 nohupユーティリティを使用してsssファイルが実行されます。このファイルは、その動作中にデーモンとして機能します。その後、 JSON設定ファイル、マイニングアプリケーション(32ビット版および64ビット版OS用)、 droidbotトロイの木馬プログラムのコピーを含むその他のトロイの木馬のコンポーネントを bot.datから抽出します。起動されると、 droidbotはランダムなIPアドレスを生成し、5555番ポートに無限ループで接続しようとします。成功すると、トロイの木馬はADBのデバッグインタフェースを使用して、検出されたデバイスを感染させようとします。そして別のスレッドでは、仮想通貨 Monero(XMR) をマイニングするよう設計されたマイニングアプリケーションを起動させます。このような悪意のあるプログラムに感染した場合、デバイスのパフォーマンス低下、過熱、バッテリーの残量の急激な減少が起こることがあります。
ADBデバッグは、 Androidではデフォルトで無効になっています。しかしながら、それを有効にしているベンダーもあり、また、ADBはユーザーによって意図的に有効にすることも可能です。開発者はしばしばデバッグモードを使用します。Dr.Web for Androidによって収集された統計によると、Dr.Webアンチウイルスによって保護されているデバイスの8%でAndroid Debug Bridgeが有効になっています。この設定が潜在的脅威となっている限り、特別なDr.WebコンポーネントであるSecurity Auditorは、デバッグが有効になっていることについてユーザーに警告し、それを無効にするよう提案します。
Dr.Webのスペシャリストは、Androidデバイスのすべてのユーザーが、リスクウェアがないかどうかOSをスキャンすることを推奨しています。これは、Security Auditorを含んだDr.Web Security Space for AndroidをDoctor Web公式サイトまたはGoogle Playで購入することで行うことができます。お使いのデバイスでUSBデバッグを使用していない場合は、それを無効にすることをお勧めします。Android向けDr.Web製品は Android.CoinMine.15 を検出し、削除することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
#Android #mining #cryptocurrencies
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2018年1月31日
株式会社Doctor Web Pacific
2018年1月、Doctor Webのウイルスアナリストはトロイの木馬を含んだ約30のゲームをGoogle Play上で発見しました。このトロイの木馬は様々な動作を実行する悪意のあるモジュールを密かにダウンロード・起動します。また、Androidスマートフォンやタブレットのユーザーは、機密情報と金銭を盗むよう設計された新たなバンキング型トロイの木馬による攻撃を受けました。そのほか、1月には複数のスパイウェアがDr.Webウイルスデータベースに追加されています。1月に拡散されていた悪意のあるプログラムの中には、感染させたモバイルデバイスのコンピューティングパワーを使用して仮想通貨Moneroをマイニングする新たなマイニング型トロイの木馬が含まれていました。
1月の主な傾向
- トロイの木馬の埋め込まれたゲームを多数、Google Play上で検出
- モバイルデバイスユーザーをスパイする悪意のあるプログラムの拡散
- ユーザーから金銭を盗む、Android向けの新たなバンキング型トロイの木馬の検出
- 新たなマイニング型トロイの木馬の拡散
1月のモバイル脅威
1月、Doctor Webのウイルスアナリストによって、 Android.RemoteCode.127.origin を含んだ30近いゲームがGoogle Play上で検出されました。 Android.RemoteCode.127.origin は、アプリケーションの機能を拡張するための特別なフレームワークの一部で、様々な動作を実行する追加のモジュールを密かにダウンロードし、起動させます。例えば、Webサイトを開き、ユーザーの操作を模倣してリンクや広告をクリックします。この脅威に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.DownLoader.573.origin
- 別のトロイの木馬や不要なソフトウェアをダウンロードする悪意のあるプログラムです。
- Android.HiddenAds.171.origin
- Android.HiddenAds.253
- Android.HiddenAds.222.origin
- モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.RemoteCode.117.origin
- 悪意のあるものを含む、様々なプログラムモジュールをダウンロード・起動させるトロイの木馬です。
- Adware.Jiubang.2
- Adware.Jiubang.1
- Adware.Allinone.1.origin
- Adware.Adviator.6.origin
- Adware.Leadbolt.12.origin
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールです。モバイルデバイス上に迷惑な広告を表示させます。
バンキング型トロイの木馬
1月には、ログイン認証情報を入力するための偽のウィンドウを表示させ、入力された情報をサイバー犯罪者に送信するバンキング型トロイの木馬 Android.BankBot.250.origin が拡散されました。
このトロイの木馬は、確認コードを含んだSMSを横取りし、サイバー犯罪者の口座への送金やオンラインバンキングシステム内でのその他の操作を密かに承認します。
スパイウェア
1月、Dr.Webウイルスデータベースに複数のスパイウェアが追加されました。そのうちの1つは、Dark Caracalとしても知られる Android.Spy.422.origin でした。この悪意のあるプログラムはサイバースパイ行為を目的に使用されていました。 Android.Spy.422.origin はSMSメッセージを盗み、通話を追跡し、写真やWebブラウザ履歴、保存されたブックマークを盗み、感染させたデバイスの内蔵マイクロフォンを使用して周りを盗聴し、さらにその他の幅広い動作を実行します。その他のスパイウェアは Android.Spy.410.origin の新たな亜種でした。 Android.Spy.410.origin は2017年11月よりDoctor Webスペシャリストに知られています。このスパイウェアはTelegram、 WhatsApp、 Skypeなどのポピュラーなメッセンジャーでのやり取りを追跡し、SMSメッセージや通話を横取りし、写真を盗みます。
ANDROID向けマイニング型トロイの木馬
1月に検出された、Androidを狙った悪意のあるプログラムにはマイニング型トロイの木馬も含まれていました。 Android.CoinMine.8 と名付けられたマイニング型トロイの木馬は、Webサイトから無料でダウンロードできるゲームやプログラムとして拡散されていました。実際は、それらのアプリケーションはすべて、感染させたデバイスを使用して仮想通貨Moneroをマイニングするトロイの木馬でした。
サイバー犯罪者は、依然としてAndroid向けの悪意のあるアプリケーションや不要なアプリケーションを作成し続け、それらを不正なWebサイトだけでなくGoogle Playからも拡散させています。これらの脅威からモバイルデバイスを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう!
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
16.01 Doctor Web、ダウンロード数450万を超える感染したゲームをGoogle Play 上で発見
2018年1月16日
株式会社Doctor Web Pacific
Android.RemoteCode.127.origin は呀呀云(Ya Ya Yun)と呼ばれるフレームワーク(ソフトウェア開発キット、SDK:Software Development Kit)の一部です。これは、アプリケーションの機能を拡張するためにデベロッパーによって使用されており、中でも特に、ゲーマー間の通信の維持を可能にすることができます。しかしながら、このプラットフォームはその他にトロイの木馬としての機能も持っています。すなわち、リモートサーバーから悪意のあるモジュールを密かにダウンロードするというものです。
SDKの組み込まれたプログラムが起動されると、 Android.RemoteCode.127.origin はC&Cサーバーに対してリクエストを送信し、その応答として、あらゆる種類の動作を実行することのできる悪意のあるモジュールをダウンロード・起動するコマンドを受け取ります。Doctor Webのスペシャリストは、 Android.RemoteCode.126.origin と名付けられたそのようなモジュールの1つを入手し、調査を行いました。起動されると、このモジュールはC&Cサーバーに接続し、無害であると見せかけた画像をダウンロードするためのリンクを取得します。
実際は、この画像ファイル内に Android.RemoteCode.126.origin のアップデートされたバージョンであるもう1つのトロイの木馬モジュールが含まれています。悪意のあるオブジェクトを画像内に隠すこのような手法(ステガノグラフィ)はウイルスアナリストの間で既に知られています。同様の手法が用いられた例として、2016年に検出され、 Android.Xiny.19.origin と名付けられたトロイの木馬があげられます。
復号化されて起動されると、新しいバージョンのトロイの木馬モジュール(Dr.Webによって Android.RemoteCode.125.origin として検出)は古いバージョンのモジュールと同時に動作を開始することで、その機能を2倍にします。次に、悪意のあるコンポーネントの潜んだまた別の画像をダウンロードします。 Android.Click.221.origin と名付けられたこのコンポーネントの目的は、密かにWebサイトを開き、サイト上にあるリンクやバナーなどのアイテムをクリックすることです。
そのために、 Android.Click.221.origin はC&Cサーバーによって指定されたアドレスからスクリプトをダウンロードします。このスクリプトは、指定されたアイテムのクリックを模倣するなど、トロイの木馬がWebサイト上で様々な動作を実行することを可能にします。このようにトロイの木馬がリンクや広告をクリックする機能を備えていれば、サイバー犯罪者はWebサイトのトラフィックを増加させ、バナーをクリックすることで収益を得ることができます。ただし、 Android.RemoteCode.127.origin の持つ機能はこれだけに留まりません。ウイルス開発者は他の悪意のある動作を実行するまた別のトロイの木馬のモジュールを作成することができるからです。例えば、ログイン認証情報を盗むためのフィッシングウィンドウを表示させる、広告を表示させる、アプリケーションを密かにダウンロード・インストールするなどです。
Doctor Webのスペシャリストはトロイの木馬を含んだSDKを使用している27のゲームをGoogle Play上で発見しました。450万をこえるユーザーがそれらをダウンロードしています。以下は、 Android.RemoteCode.127.origin の埋め込まれたアプリケーションのリストです。
| プログラム名 | アプリケーションパッケージ名 | バージョン |
|---|---|---|
| Hero Mission | com.dodjoy.yxsm.global | 1.8 |
| Era of Arcania | com.games37.eoa | 2.2.5 |
| Clash of Civilizations | com.tapenjoy.warx | 0.11.1 |
| Sword and Magic | com.UE.JYMF&hl | 1.0.0 |
| خاتم التنين - Dragon Ring (For Egypt) | com.reedgame.ljeg | 1.0.0 |
| perang pahlawan | com.baiduyn.indonesiamyth | 1.1400.2.0 |
| 樂舞 - 超人氣3D戀愛跳舞手遊 | com.baplay.love | 1.0.2 |
| Fleet Glory | com.entertainment.mfgen.android | 1.5.1 |
| Kıyamet Kombat Arena | com.esportshooting.fps.thekillbox.tr | 1.1.4 |
| Love Dance | com.fitfun.cubizone.love | 1.1.2 |
| Never Find Me - 8v8 real-time casual game | com.gemstone.neverfindme | 1.0.12 |
| 惡靈退散-JK女生の穿越冒險 | com.ghosttuisan.android | 0.1.7 |
| King of Warship: National Hero | com.herogames.gplay.kowglo | 1.5.0 |
| King of Warship:Sail and Shoot | com.herogames.gplay.kowsea | 1.5.0 |
| 狂暴之翼-2017年度最具人氣及最佳對戰手遊 | com.icantw.wings | 0.2.8 |
| 武動九天 | com.indie.wdjt.ft1 | 1.0.5 |
| 武動九天 | com.indie.wdjt.ft2 | 1.0.7 |
| Royal flush | com.jiahe.jian.hjths | 2.0.0.2 |
| Sword and Magic | com.linecorp.LGSAMTH | Depends on a device model |
| Gumballs & Dungeons:Roguelike RPG Dungeon crawler | com.qc.mgden.android | 0.41.171020.09-1.8.6 |
| Soul Awakening | com.sa.xueqing.en | 1.1.0 |
| Warship Rising - 10 vs 10 Real-Time Esport Battle | com.sixwaves.warshiprising | 1.0.8 |
| Thủy Chiến - 12 Vs 12 | com.vtcmobile.thuychien | 1.2.0 |
| Dance Together | music.party.together | 1.1.0 |
| 頂上三国 - 本格RPGバトル | com.yileweb.mgcsgja.android | 1.0.5 |
| 靈魂撕裂 | com.moloong.wjhj.tw | 1.1.0 |
| Star Legends | com.dr.xjlh1 | 1.0.6 |
Doctor Webは、上記アプリケーション内で検出されたトロイの木馬についてGoogle社に報告を行いました。しかしながら、本記事掲載時点で、これらアプリケーションは未だダウンロード可能な状態となっています。 Android.RemoteCode.127.origin を含んだゲームをダウンロードしたAndroidスマートフォンやタブレットのユーザーは、それらを削除することが推奨されます。。Dr.Web for Androidは Android.RemoteCode.127.origin を含んだプログラムを検出することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
Android.RemoteCode.127.originの詳細(英語)
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2017
2017年12月29日
株式会社Doctor Web Pacific
2017年最後の月には、アプリケーション内に隠された新たなトロイの木馬がGoogle Play上で複数発見されました。これらの悪意のあるプログラムは金融機関の利用者から機密情報を盗むバンキング型トロイの木馬でした。同じく銀行口座にアクセスするためのログイン認証情報を盗むAndroid向けトロイの木馬が、Google Play以外の場所からも拡散されています。また、12月にはイタリアのユーザーをスパイする悪意のあるプログラムが拡散されました。
12月の主な傾向
- 新たなバンキング型トロイの木馬の拡散
- 個人情報を盗むスパイウェアの検出
12月のモバイル脅威
12月、Android.Spy.410.origin のシグネチャがDr.Webのウイルスデータベースに追加されました。このトロイの木馬はイタリアのAndroidデバイスユーザーをスパイし、個人情報を盗んでいました。 Android.Spy.410.origin はSkype、 WhatsApp、 Telegramなどの人気のあるメッセージアプリケーションやソーシャルネットワークアプリケーションでのやり取りを盗み、サイバー犯罪者に送信します。また、SMSメッセージや通話を横取りし、メモリ内に保存された画像を盗むことができます。
Dr.Web for Androidによる統計
- Android.HiddenAds.171.origin
- モバイルデバイス上に望まない広告を表示させるよう設計されたトロイの木馬です。
- Android.RemoteCode.71
- 悪意のあるものを含む、様々なプログラムモジュールをダウンロード・起動させるトロイの木馬です。
- Android.Packed.15893
- インターネットバンキングの口座にアクセスするためにログイン認証情報を盗むトロイの木馬です。
- Android.DownLoader.653.origin
- Android.DownLoader.573.origin
別のトロイの木馬や不要なソフトウェアをダウンロードする悪意のあるプログラムです。
- Adware.Jiubang.2
- Adware.Jiubang.1
- Adware.Saturn.1.origin
- Adware.Adviator.6.origin
- Adware.Leadbolt.12.origin
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールです。モバイルデバイス上に迷惑な広告を表示させます。
バンキング型トロイの木馬
12月にはGoogle Play上でもバンキング型トロイの木馬が検出され、それぞれDr.Webの分類に従って Android.BankBot.243.origin および Android.BankBot.255.origin と名付けられました。ユーザーが疑いを抱かぬよう、これらトロイの木馬は無害なプログラムに埋め込まれていました。感染させたスマートフォンやタブレット上で、サイバー犯罪者によって指定されたバンキングアプリケーションを探し、口座にアクセスするための偽のログインフォームを表示させます。その後、収集された情報がサイバー犯罪者に送信されます。
そのほか、12月には Android.Packed.15893 も発見されています。このトロイの木馬もまた、モバイルバンキングのログイン認証情報を要求する偽のウィンドウを表示させ、入力された情報をサイバー犯罪者に送信します。
サイバー犯罪者がモバイルデバイスユーザーから金銭を盗むことを可能にしてしまうバンキング型トロイの木馬は深刻な脅威となっています。これらのトロイの木馬はGoogle Playやその他のアプリケーションストアのみでなく、ハッキングされたサイトや偽のサイトからも拡散されています。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2017年12月29日
株式会社Doctor Web Pacific
2017年に起こった情報セキュリティイベントから、モバイルデバイスに対するサイバー犯罪者の関心は依然として衰えていないということが分かります。Androidを標的とする新たな悪意のあるプログラムの出現と、それらの機能の向上がそれを裏付けています。2017年、スマートフォンやタブレットのユーザーはAndroid Accessibility Serviceを使用するトロイの木馬による脅威にさらされました。Accessibility Serviceを使用することで、トロイの木馬はシステム設定の変更やソフトウェアのダウンロード・インストールなどの悪意のある動作を密かに実行することができます。
ログイン認証情報やその他の機密情報を盗み、サイバー犯罪者が被害者の口座から金銭を盗むことを可能にするバンキング型トロイの木馬は2017年にも深刻な脅威となっています。2016年にAndroid向けトロイの木馬の1つのソースコードが公開されたことが、ウイルス作成者が同種の悪意のあるアプリケーションを新たに作成することを容易にしています。
Android向けランサムウェアによる攻撃も続いています。ランサムウェア型トロイの木馬はモバイルデバイスをロックし、復元するために身代金を要求します。2017年には、これら悪意のあるプログラムの中にファイルを暗号化するエンコーダが含まれていました。
そのほか、Google Play上でトロイの木馬や不要なプログラムを含む新たな脅威が多数検出されています。
2017年に多く拡散された悪意のあるアプリケーションの1つは、アクセス数を増やすためにWebサイトを開き、リンクや広告バナーをクリックするというものでした。また、仮想通貨をマイニングする新たなトロイの木馬も検出されています。
2017年の主な傾向
- Android Accessibility Serviceを使用するトロイの木馬の出現
- Google Play上で悪意のあるプログラムや不要なプログラムを多数検出
- 新たなバンキング型トロイの木馬の登場
- アクセス数を増やすためにWebサイトを開き、リンクや広告バナーをクリックする悪意のあるアプリケーションの拡散
- 感染させたモバイルデバイスのコンピューティングパワーを利用して仮想通貨をマイニングする新たなトロイの木馬を検出
2017年の最も注目すべきイベント
2017年には、Android Accessibility Serviceを使用する悪意のあるプログラムが広く拡散されました。Accessibility ServiceはAndroidスマートフォンやタブレットの使用を簡易化するためのもので、障害を持つ人々でも使いやすいようにするなど、様々な方法で使用されます。しかしながら、トロイの木馬がこの機能へのアクセスを取得してしまうと、感染したデバイスをコントロールし、ユーザーの操作なしに悪意のある動作を実行することができるようになります。例えば、ダイアログ内のタッピングを模倣したり、様々な設定を開いて変更したり、他のアプリケーションを自動的にインストールしたりすることが可能です。
そのようなトロイの木馬の1つが Android.BankBot.211.origin です。必要な権限を取得すると、 Android.BankBot.211.origin は自身を自動的にデバイス管理者リストに加え、デフォルトのSMSマネージャーとして設定し、画面上で行われたすべての操作を記録します。バンキングプログラムやその他のプログラムが起動すると、 Android.BankBot.211.origin は偽の認証フォームを表示させ、すべてのキーストロークのスクリーンショットを撮り、SMSメッセージと通話に関するすべての情報をサイバー犯罪者に送信します。
Android.DownLoader.504.origin は、悪意のある動作を自動的に実行するためにAndroid Accessibility Serviceを使用するまた別のトロイの木馬です。様々なアプリケーションや別のトロイの木馬を密かにダウンロードし、それらを自動的にインストールします。
そのほか、同様の機能を持つ Android.BankBot.233.origin が検出されています。 Android.BankBot.233.origin は自身のソースとAccessibility Serviceを使用して、バンキング型トロイの木馬 Android.BankBot.234.origin を密かにインストールします。このトロイの木馬はGoogle Playの起動を追跡し、クレジットカード情報を入力させるための偽の決済フォームを表示させます。入力されたデータはサイバー犯罪者へと送信され、被害者の銀行口座から金銭を盗む目的で使用されます。
Android向けの悪意のあるプログラムや不要なプログラムの多くは、サイバー犯罪者が収益を得るために使用しています。バンキング型トロイの木馬を使用して金銭を盗むという方法に加えてサイバー犯罪者に人気のあるのが、モバイルデバイス上に密かにアプリケーションをダウンロード・インストールすることで不正に収益を得るというものです。Doctor Webのスペシャリストは、そのような目的で作成されたトロイの木馬や不要なプログラムの登場と大規模な拡散を2016年に確認しています。2017年もこの傾向は続きました。1月、Doctor WebはPlay Marketのプロセス内に挿入してGoogle Play からアプリケーションをダウンロードする Android.Skyfin.1.origin について報告しています。 Android.Skyfin.1.origin はダウンロードしたソフトウェアをインストールすることはありませんが、Googleサーバーに対してリクエストを送信する際に様々なパラメータを置き換えることでインストールを完全に模倣します。その結果、プログラムのインストール数が増加し、人気を向上させることができます。また、 Android.Skyfin.1.origin はアプリケーションの評価を上げる偽のレビューを投稿することで、アプリケーションがユーザーに対してより魅力的に映るようにします。
5月には、Google Play上で Android.RemoteCode.28 が検出されました。このトロイの木馬もまた、インターネットから別のプログラムをダウンロードします。7月には、Androidデバイスの複数のモデルのファームウェアに組み込まれ、システムライブラリ内に埋め込まれた Android.Triada.231 が検出されました。 Android.Triada.231 は、あらゆるプログラムのプロセス内に侵入し、追加の悪意のあるモジュールを密かに起動させることができます。
収益を得るためにサイバー犯罪者によって広く使用されているまた別の手法は、トラフィック数を増加させるためにWebサイトを開き、バナーやサイト上の他のエレメントをクリックするというものです。2017年には、このような目的で使用されていた悪意のあるプログラムの1つ Android.RemoteCode.106.origin がGoogle Playから拡散されていました。 Android.RemoteCode.106.origin は追加のモジュールをダウンロードし、それらを使用してWebサイトを開きます。そして、それらサイト上のリンクを辿り、広告をクリックします。
2017年には、同様の機能を持つトロイの木馬 Android.Click ファミリーも検出されています。例えば、 Android.Click.132.origin はC&Cサーバーから受け取ったコマンドに応じて密かにWebページを開き、広告バナーを自動的にクリックします。 Android.Click.268、 Android.Click.269、 Android.Click.274 もまた、Webページを開き、サイバー犯罪者に指定された場所をクリックして広告のクリック数を増やします。これらトロイの木馬は、1000万の空のリクエストを送信するためのWebサイトのアドレスをコントロールセンターから受け取ります。その結果、これらトロイの木馬を意図せずインストールしてしまったユーザーは、DDoS攻撃に加担してしまうことになります。
収益を得るために迷惑な広告を表示させる方法は、ウイルス作成者や不正なソフトウェアデベロッパーにとって依然として高い人気を保っています。2017年3月、Doctor Webは Adware.Cootek.1.origin と名付けられた不要な広告モジュールについて記事を掲載しました。 Adware.Cootek.1.origin はTouchPalと呼ばれる無害なスクリーンキーボードアプリに埋め込まれてGoogle Playから拡散されていました。5000万を超えるユーザーがこのプログラムをインストールしています。 Adware.Cootek.1.origin は迷惑な広告を表示させるほか、ロック画面にバナーを埋め込みます。
4月には、Google Play上で Android.MobiDash.44 が検出されました。人気のゲームのアプリケーションガイドとして拡散されていた Android.MobiDash.44 は、広告を表示させ、追加の悪意のあるモジュールをダウンロードすることができます。
モバイルデバイスを使用した仮想通貨のマイニングは、効率の良い収益源とはいえないでしょう。それにもかかわらず、この手法はサイバー犯罪者を惹きつけ続けています。2017年11月、仮想通貨Moneroをマイニングするスクリプトの埋め込まれたWebサイトを密かに開く Android.CoinMine.3 がGoogle Play上で検出されています。
悪意のあるプログラムは収益を得る目的だけに使用されているのではありません。トロイの木馬の中には、追跡やサイバースパイ活動に使用されているものもあります。2017年4月、標的型攻撃に使用されていた Android.Chrysaor.1.origin と Android.Chrysaor.2.origin が発見されました。これらトロイの木馬はSkype、 Viber、 WhatsApp、 Twitter、 Facebook、メールクライアントなどの多くのメッセージングプログラムからやり取りを盗むほか、SMSメッセージを横取りし、感染したスマートフォンやタブレットのマイクロフォンを使用して盗聴を行い、通話を録音します。さらに、モバイルデバイスの位置情報を追跡し、ブラウザ履歴を盗み、連絡先リストや収集した機密情報をサイバー犯罪者に送信します。
7月にも同様の機能を持ったトロイの木馬が検出され、 Android.Lipizzan.2 と名付けられました。このトロイの木馬もまた、人気のあるメッセンジャーやメールクライアントからやり取りを盗み、通話を横取りして録音し、マイクロフォンを使用して盗聴し、スクリーンショットを撮り、感染したデバイスの位置情報を追跡します。
そのほか、2017年にはイランのユーザーをスパイする Android.Spy.377.origin が検出されています。サイバー犯罪者は、Telegramプロトコル経由でこのトロイの木馬をコントロールしていました。 Android.Spy.377.origin はデバイス上で使用可能なすべてのファイルに関する情報をサイバー犯罪者に送信し、それらをC&Cサーバーにアップロードすることができます。また、サイバー犯罪者から受け取ったコマンドに応じて、SMSを送信し、電話をかけ、感染したスマートフォンやタブレットの位置情報を追跡し、送受信されるSMSメッセージやその他の機密情報を盗みます。
モバイルマルウェアに関する状況
Android製品上でDr. Webによって検出された脅威に関する統計によると、2017年には、別の悪意のあるプログラムや不要なソフトウェアを自動的にダウンロードするAndroid向けトロイの木馬が最も多く検出されています。また、検出された脅威の多くをアドウェアが占めていました。
- Android.DownLoader.337.origin
- Android.DownLoader.337.origin モバイルデバイス上に別の悪意のあるプログラムをダウンロードするトロイの木馬です。
- Android.HiddenAds
- モバイルデバイス上に迷惑な広告を表示させるトロイの木馬のファミリーです。
- Android.Triada.63
- 様々な悪意のある機能を実行するマルチコンポーネントトロイの木馬です。
- Android.Click.171.origin
- サイバー犯罪者によって指定されたWebサイトのトラフィックを増やすよう設計されたトロイの木馬ファミリーです。
- Android.Loki.19.origin
- 別のトロイの木馬をダウンロードするよう設計された悪意のあるプログラムです。
- Android.Cooee.1.origin
- アプリケーションを密かにダウンロード・インストールし、迷惑な広告を表示させるよう設計されたトロイの木馬です。
- Android.CallPay.1.origin
- アダルトコンテンツへのアクセスを提供すると同時に、そのサービスに対する支払いとして高額な番号へ密かに通話を発信するトロイの木馬です。
2017年にスマートフォンやタブレット上で検出された不要なプログラムとリスクウェアについては、2016年と同様の傾向が伺えます。過去12カ月間にAndroidデバイスを最も多く感染させたのは、迷惑な広告を表示させる不要なプログラムモジュールでした。
- Adware.Jiubang.1
- Adware.Jiubang.2
- Adware.Leadbolt.12.origin
- Adware.Airpush.31.origin
- Adware.Adpush.7
- Adware.SalmonAds.1.origin
- Adware.Avazu.8.origin
- Adware.Patacore.2
- Adware.Fly2tech.2
- Adware.Appsad.3.origin
これらはソフトウェアデベロッパーやウイルス作成者によってアプリケーション内に埋め込まれ、迷惑な広告を表示させる不要なモジュールです。
バンキング型トロイの木馬
サイバー犯罪者が金銭を盗むことを可能にすることから、バンキング型トロイの木馬は最も危険な悪意のあるアプリケーションの1つとなっています。2017年には、Android向けバンキング型トロイの木馬による感染が190万件以上発生しました。これは2016年に比べて9.5%の減少となっています。以下のグラフは、2017年におけるバンキング型トロイの木馬の検出数の推移を表しています。
2017年の特筆すべきイベントは、一般に公開された Android.BankBot.149.origin のソースコードを基にして作成されたAndroid向けバンキング型トロイの木馬の拡散です。それらの1つである Android.BankBot.179.origin は4月にGoogle Play上で検出されました。このトロイの木馬は200を超えるバンキングプログラムについて、それらが起動されると同時に偽のログイン情報入力フォームを表示させます。ユーザーが入力した情報はサイバー犯罪者に送信されます。また、 Android.BankBot.179.origin はクレジットカードの確認コードを含んだ受信SMSメッセージを横取りし、サイバー犯罪者の口座に対する送金を自動的に確定します。
Android.BankBot.160.origin と Android.BankBot.163.origin もまた、公開されたソースコードを基に作成されたトロイの木馬です。これらトロイの木馬は、天気予報を表示させるアプリケーションに埋め込まれ、同じくGoogle Playからで拡散されていました。これらはバンキングアプリケーションの起動を追跡し、起動と同時に偽の認証ウィンドウを表示させます。
2017年にAndroidユーザーを攻撃したまた別のバンキング型トロイの木馬に Android.Banker.202.origin があります。このトロイの木馬は無害なプログラムに潜んでGoogle Playから拡散されていました。起動されると、 Android.Banker.202.origin は自身のファイルソースから Android.Banker.1426 を抽出して起動します。次に、この Android.Banker.1426 が Android.BankBot ファミリーに属するAndroid向けバンキング型トロイの木馬の1つをC&Cサーバーからダウンロードし、そのトロイの木馬がログイン認証情報やその他の機密情報を盗みます。
ランサムウェア型トロイの木馬
モバイルデバイスをブロックしてファイルを暗号化し、身代金を要求するランサムウェアは深刻な脅威となっています。2017年も、Androidスマートフォンやタブレットのユーザーはこのようなランサムウェアによる攻撃を受けました。過去12カ月間に、Android向け Dr.Webアンチウイルス製品によって177,000件以上のランサムウェア型トロイの木馬が検出されています。以下のグラフはその推移を表しています。
これらトロイの木馬の1つはGoogle play上で発見され、 Android.Locker.387.origin と名付けられました。 Android.Locker.387.origin はバッテリーのパフォーマンスを最適化するプログラムEnergy Rescueとして拡散されていました。実際には、 Android.Locker.387.origin はEnergy Rescueとしての機能を実行せず、その動作を模倣するだけです。バッテリーを復元する代わりに、このトロイの木馬は管理者権限を要求し、感染させたデバイスをロックして解除するための身代金を要求します。
6月、ランサムウェア型トロイの木馬 Android.Encoder.3.origin が発見されました。このトロイの木馬は中国のユーザーを標的とし、SDカード上のファイルを暗号化します。興味深いことに、このトロイの木馬の身代金要求ウィンドウには、2017年5月に世界中で数十万台のコンピューターを感染させた暗号化ランサムウェア WannaCry と同じデザインが使用されていました。
夏の終わりには、 Android.Banker.184.origin のシグネチャがDr.Webのウイルスデータベースに追加されました。このトロイの木馬はAccessibility Serviceへのアクセスを要求し、自身をデバイス管理者のリストに自動的に追加します。次に、画面をロック解除するPINコードを変更し、写真、動画、ドキュメント、音楽などのファイルを暗号化して、身代金を要求するメッセージを表示させます。
GOOGLE PLAY上の脅威
Android用アプリケーション公式ストアのセキュリティを確保しようとするGoogleの取り組みもむなしく、悪意のあるプログラムや不要なプログラムは依然としてGoogle Playへの侵入を果たしています。2017年には、多くの脅威がGoogle Play上で発見されました。4月に発見された Android.BankBot.180.origin は、フラッシュライトアプリケーションに埋め込まれていました。このトロイの木馬は銀行口座にアクセスするための偽のログイン入力画面を表示させ、確認コードを含んだSMSメッセージを横取りします。
6月には、 Android.Dvmap.1.origin がGoogle Play上で発見されています。このトロイの木馬は一連のエクスプロイトを使用してルートアクセスを取得し、 Android.Dvmap.2.origin をインストールします。この Android.Dvmap.2.origin がC&Cサーバーに接続し、そこから受け取ったコマンドに応じて追加のコンポーネントをダウンロードします。
また、6月にはGoogle Play上でリスクウェア Program.PWS.1 も発見されています。このアプリケーションは、ウクライナでブロックされているWebサイト「VK」および「Odnoklassniki」へのアクセスを可能にするものです。ブロックを回避するために匿名化サーバーを使用しますが、ログイン認証情報や、ソーシャルネットワークサイト上での活動から生じたその他のデータを暗号化せずに送信します。そのため、モバイルデバイスユーザーの個人情報を流出させてしまう危険性があります。
その後、 Android.SmsSend.1907.origin や Android.SmsSend.1908.origin などのトロイの木馬がGoogle Play上で発見されました。これらトロイの木馬は、有料番号に対してSMSを送信し、ユーザーを高額なサービスに登録します。
7月、Doctor Webは Android.DownLoader.558.origin について記事を掲載しました。このトロイの木馬は、アプリケーションのアップデートを自動化・簡略化するために設計された特別なソフトウェアパッケージ(SDK、ソフトウェア開発キット)に組み込まれていました。 Android.DownLoader.558.origin は追加のモジュールを密かにダウンロードし、起動させることができます。同月には、Google Play上で Android.RemoteCode.85.origin も発見されています。このトロイの木馬は、ユーザーのSMSメッセージをサイバー犯罪者に送信する悪意のあるコンポーネントをダウンロードし、起動させます。
9月には、感染させたデバイスをSOCKSプロトコル経由で実行されるプロキシサーバーとして使用する Android.SockBot.5 がGoogle Play上で発見されました。11月には、Google Play上で Android.DownLoader.658.origin が検出されています。このトロイの木馬は他のアプリケーションをダウンロード・インストールするようユーザーを誘導します。
2017年を通して、 Android.Spy.308.origin の新たな亜種がGoogle Play上で発見されています。Doctor Webでは2016年にこのトロイの木馬について報告しています。前回同様、この悪意のあるプログラムは無害なソフトウェアに埋め込まれていました。 Android.Spy.308.origin の主な機能は、迷惑な広告を表示し、追加のモジュールをダウンロード・起動するというものです。
今後の傾向と予測
サイバー犯罪者は、悪意のあるプログラムの拡散方法とそれらの機能を継続的に改良し続けています。Androidモバイルデバイスユーザーに対する深刻な脅威の1つがバンキング型トロイの木馬です。機密情報を盗み、バンキングアプリケーションの起動を追跡し、それらの前面に個人情報を入力するための偽のフォームを表示させるこれら悪意のあるアプリケーションの数が増加しているということが、2016年にDoctor Webのスペシャリストによって明らかになり、2017年もその傾向は続きました。サイバー犯罪者は2018年も引き続きこの攻撃手法を使用し、新たなバンキング型トロイの木馬が作成されるであろうことは疑いの余地がありません。
Android Accessibility Serviceを使用するトロイの木馬は、その機能を大幅に広げることができるほか、感染したデバイスを完全にコントロールすることが可能になるため、より危険な脅威となります。スマートフォンやタブレットのユーザーに対する深刻な脅威となるため、Google社はGoogle Playから配信されるプログラムでのAccessibility Service機能の使用を大幅に制限することを決定しました。障害を持つユーザーを補助するよう設計されていないアプリケーションはGoogle Playから削除される場合があります。デベロッパーは、ソフトウェアにそれらの機能が必要であることを証明し、なぜそれらの機能が必要なのかユーザーに対して説明しなくてはなりません。間違いなくウイルス開発者はこれらの制限を回避する方法を編み出し、この機能を使用するトロイの木馬を拡散し続けるでしょう。
そのほか2018年の傾向として、より高度な分析によるトロイの木馬の検出方法の向上が考えられます。サイバー犯罪者は、ダウンロードされるモジュール内にメインの機能が隠され、トロイの木馬の追加のアプリケーションがC&Cサーバーに置かれている、複数のレベルから成る悪意のあるプログラムをより頻繁に使用するようになっています。また、あらゆる種類のパッカーが広く拡散されるようになっています。ウイルス開発者は悪意のあるプログラムを保護するため、今後もこれらの手法やその他のテクニックを使用してくるものと考えられます。
また、2018年には、モバイルデバイスのファームウェアを感染させるケースや、ユーザーのファイルを暗号化するトロイの木馬を含む新たなランサムウェアの出現がみられるものと予測されます。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2017年11月30日
株式会社Doctor Web Pacific
11月には、Google Play上で新たな悪意のあるアプリケーションが多数検出されました。
11月初旬、モバイルデバイスの容量を使用して仮想通貨をマイニングするマイニング型トロイの木馬が検出され、その後、ユーザーを有料サービスに登録するSMS型トロイの木馬が発見されました。11月中旬には、追加のモジュールをダウンロードする悪意のあるプログラムがDoctor Webのスペシャリストによって検出されました。これらのモジュールはWebサイトを開いて広告やリンクをタップします。また、様々なアプリケーションをダウンロードするよう設計されたトロイの木馬がGoogle Playから拡散されていました。そのほか、同じくGoogle Play上でAndroid向けバンキング型トロイの木馬が検出されています。これらのトロイの木馬はユーザーの個人情報と銀行口座のお金を盗むよう設計されていました。
11月の主な傾向
- 無害なアプリケーションに組み込まれたトロイの木馬を多数Google Play上で検出
11月のモバイル脅威
11月、Doctor Webのセキュリティスペシャリストは Android.RemoteCode.106.origin を含んだ9つのアプリケーションをGoogle Play上で発見しました。これらのアプリケーションは少なくとも237万件ダウンロードされています。 Android.RemoteCode.106.origin は追加の悪意のあるモジュールをダウンロードして起動させます。それらのモジュールはコントロールサーバーによって指定されたWebサイトを自動的に開き、広告やリンクをタップします。この脅威の詳細についてはこちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.HiddenAds.238
- モバイルデバイス上に望まない広告を表示するよう設計されたトロイの木馬です。
- Android.Triada.63
- Android.Triada.152
- 様々な悪意のある機能を実行するトロイの木馬です。
- Android.DownLoader.653.origin
- 別のマルウェアをダウンロードするよう設計されたトロイの木馬です。
- Android.Click.171.origin
- サイバー犯罪者によって指定されたWebサイトを定期的にリクエストするよう設計されたトロイの木馬ファミリーで、トラフィックを増やすためや広告リンクを辿るために使用されます。
- Adware.Jiubang.2
- Adware.Jiubang.1
- Adware.Adviator.6.origin
- Adware.Airpush.31.origin
- Adware.SalmonAds.1.origin
- Androidアプリケーションに組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
マイニング型トロイの木馬
11月初旬、Google Play上で Android.CoinMine.3 が検出されました。Androidモバイルデバイスの容量を使用して仮想通貨Moneroをマイニングするこのマルウェアは、Club CooeeオンラインチャットにアクセスするためのアプリケーションXCOOEEPに潜んでいました。
Android.CoinMine.3 は、自動的に実行されるマイニングスクリプトを含んだWebサイトをユーザーには見えないWebViewウィンドウ内で開きます。集中的なマイニングプロセスの結果、感染したモバイルデバイスのパフォーマンスは低下し、デバイスが熱を持ち、バッテリーの減りが早くなる可能性があります。
SMS型トロイの木馬
11月には、複数のSMS型トロイの木馬がGoogle Playから拡散されました。 Android.SmsSend.23371、 Android.SmsSend.23373、 Android.SmsSend.23374としてDr.Webに検出されるそれらトロイの木馬は、アプリケーションSecret Notepad、 Delicate Keyblard、 Super Emotionに組み込まれていました。これらトロイの木馬は高額なメッセージを送信し、ユーザーを望まないサービスに登録します。
ダウンローダ型トロイの木馬
11月、 Android.DownLoader.658.origin の新たな亜種がGoogle Play上で発見されました。このトロイの木馬はサイバー犯罪者の指示に従って、様々なアプリケーションをダウンロード・インストールするようユーザーに提案します。また、それだけでなく、自力でソフトウェアをダウンロードすることもできます。 Android.DownLoader.658.origin は次のような特徴を備えています:
- 無害なアプリケーションに組み込まれている
- いくつかの条件(エミュレーター上で動作している、デベロッパー向けの機能がモバイルデバイス上でオフになっている、など)が満たされた場合のみ悪意のある動作がアクティベートされる
- プログラムのダウンロード・インストールに関する通知を表示させる
- 検出・解析されることを防ぐため、トロイの木馬の作成者は Android.Packed.1 として検出される特別なパッカーを使用している
バンキング型トロイの木馬
11月、Google Play上でトロイの木馬 Android.Banker.202.origin が検出されました。このトロイの木馬は無害なアプリケーションに潜んでいました。起動されると、悪意のある複数のコンポーネントを自身のリソースフォルダから抽出し、悪意のあるプログラム Android.Banker.1426 を起動させます。次に、このトロイの木馬がコントロールサーバーから Android.BankBot ファミリーに属するAndroid向けバンキング型トロイの木馬をダウンロードしますが、のマルウェアはログインや認証情報、その他の機密情報を盗むよう設計されています。
11月には同じくGoogle Play上で Android.Banker ファミリーに属する複数のトロイの木馬が検出されており、これらトロイの木馬でも同様の手法が用いられています。すなわち、これらトロイの木馬は隠された悪意のあるコンポーネントを抽出して起動させ、このコンポーネントもまた、自身のファイルリソースから別のトロイの木馬コンポーネントを抽出して起動させます。そしてそのコンポーネントが、リモートロケーションからバンキング型トロイの木馬をダウンロード・インストールしようと試みます。
Google Play上で悪意のあるアプリケーションが多数発見されているという事実は、サイバー犯罪者がその防御メカニズムをすり抜ける新しい方法を未だ編み出し続けているということを示しています。Doctor Webでは、モバイルデバイスをトロイの木馬や不要なプログラムから守るためにAndroid向けのDr.Webアンチウイルス製品をインストールすることをお勧めしています。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
13.11 Doctor Web、ダウンロード数200万を超える悪意のあるアプリケーションをGoogle Play上で発見
2017年11月13日
株式会社Doctor Web Pacific
Android.RemoteCode.106.origin は9つのプログラムで検出されており、これらのプログラムは合計で237万~1170万のユーザーによってダウンロードされています。該当するアプリケーションは以下のとおりです:
- Sweet Bakery Match 3 – Swap and Connect 3 Cakesバージョン3.0
- Bible Triviaバージョン1.8
- Bible Trivia – FREEバージョン2.4
- Fast Cleaner lightバージョン1.0
- Make Money 1.9
- Band Game: Piano, Guitar, Drumバージョン1.47
- Cartoon Racoon Match 3 - Robbery Gem Puzzle 2017バージョン1.0.2
- Easy Backup & Restoreバージョン4.9.15
- Learn to Singバージョン1.2
Doctor Webでは、アプリケーションに Android.RemoteCode.106.origin が含まれていることについてGoogle社に報告を行いました。本記事掲載時点で、一部のアプリケーションではアップデートが行われ、トロイの木馬は検出されなくなっています。しかしながら、残りのアプリケーションは未だトロイの木馬が含まれた危険な状態のままとなっています。
悪意のある活動を開始する前に、 Android.RemoteCode.106.origin はいくつかのチェックを行います。感染したモバイルデバイスに一定の数の写真、連絡先、通話履歴がない場合、トロイの木馬は動作を行いません。特定の条件が満たされた場合、トロイの木馬はC&Cサーバーにリクエストを送信し、応答メッセージ内で受け取ったリンクを辿ろうと試みます。成功すると、 Android.RemoteCode.106.origin はその主要な機能を使用します。
このトロイの木馬は動作に必要なモジュールのリストをC&Cサーバーからダウンロードします。そのうちの1つは Android.Click.200.origin としてDr.Webのウイルスデータベースに追加されました。このモジュールはWebサイトのアドレスをC&Cから受け取り、ブラウザ内で自動的にそのサイトを開きます。この機能はインターネットリソースのアクセス数を増やすために使用されるほか、トロイの木馬が偽のページを開くタスクを受け取った場合にはフィッシング攻撃にも使用されます。
Android.Click.199.origin と名付けられた2つ目のモジュールは、 Android.Click.201.origin としてウイルスデータベースに追加された3つ目のコンポーネントの動作を可能にします。
Android.Click.199.origin の主なタスクは Android.Click.201.origin をダウンロード・起動・アップデートすることです。
Android.Click.201.origin は起動されるとサーバーに接続し、タスクを受け取ります。これらのタスクには、トロイの木馬がWebViewを使用して非表示モードで開くWebサイトのアドレスが含まれています。それらのWebサイトを開くと、 Android.Click.201.origin はコマンドで指定された広告バナーやページ上にある任意のエレメントを自動的にクリックします。この動作は、決められたクリック数に達するまで続けられます。
したがって、 Android.RemoteCode.106.origin の主な目的はWebサイトのアクセス数を増加させるための悪意のある追加のモジュールをダウンロード・起動させ、広告リンクを辿ることにあります。これらの動作によって、サイバー犯罪者に収益がもたらされます。そのほか、このトロイの木馬はフィッシング攻撃を実行し、機密情報を盗む目的でも使用されることがあります。
Dr.Web for Androidは Android.RemoteCode.106.origin とその追加モジュールを含むすべてのアプリケーションを検出することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。 Android.RemoteCode.106.origin を含んだアプリケーションが検出された場合は、そのアプリケーションを削除するか、またはトロイの木馬を含んでいないアップデートされたバージョンが入手可能であるかどうかを確認してください。
2017年10月27日
株式会社Doctor Web Pacific
10月には、無害なアプリケーション内に組み込まれた新たなAndroid向けトロイの木馬がGoogle Play上で検出されました。このトロイの木馬は、感染させたモバイルデバイスをサイバー犯罪者がプロキシサーバーとして使用することを可能にします。また、10月にはランサムウェア型トロイの木馬が広く拡散されています。このトロイの木馬はAndroidスマートフォンやタブレット上のファイルを暗号化し、画面ロックのパスワードを変更して身代金を要求します。
10月の主な傾向
- デバイスの画面ロックのPINコードを変更し、ファイルを暗号化するAndroid向けトロイの木馬に関する情報がメディアで報道される
- Androidデバイスをプロキシサーバーとして動作させる悪意のあるプログラムをGoogle Play上で発見
10月のモバイル脅威
10月、Google Play上でトロイの木馬Android.SockBot.5が検出されました。このトロイの木馬は2017年6月にDr.Webのウイルスデータベースに追加されています。このトロイの木馬はサイバー犯罪者によって以下のアプリケーション内に組み込まれています:
- PvP skins for Minecraft
- Game Skins for Minecraft
- Military Skins for Minecraft
- Cartoon skins for Minecraft
- Hot Skins for Minecraft PE
- Skins Herobrine for Minecraft
- Skins FNAF for Minecraft
- Assassins skins for Minecraft
これらのプログラムは、ポピュラーなゲーム『Minecraft(マインクラフト)』のモバイル版でキャラクターの見た目を変えるために使用されます。
起動されると、トロイの木馬は密かにC&Cサーバーに接続し、SOCKSプロトコルを使用してネットワークアドレスとの接続を確立します。その結果、サイバー犯罪者はスマートフォンやタブレットをプロキシサーバーとして動作させることで、それらを介してトラフィックを処理することが可能になります。
Dr.Web for Androidによる統計
- Android.Click.171.origin
- Android.Click.173.origin
- サイバー犯罪者によって指定されたWebサイトを定期的にリクエストするよう設計されたトロイの木馬ファミリーで、トラフィックを増やすためや広告リンクを辿るために使用されます。
- Android.HiddenAds.68.origin
- モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。
- Android.CallPay.1.origin
- アダルトコンテンツへのアクセスを提供すると同時に、そのサービスに対する支払いとして高額な番号へ密かに通話を発信するトロイの木馬です。
- Android.Sprovider.10
- Androidデバイス上に様々なアプリケーションをダウンロード・インストールするトロイの木馬です。また、広告を表示させることもできます。
- Adware.Jiubang.2
- Adware.Fly2tech.2
- Adware.SalmonAds.1.origin
- Adware.Jiubang.1
- Adware.Fly2tech.4
- Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示するよう設計された、不要なプログラムモジュールです。
ランサムウェア型トロイの木馬
10月には、Android向けの危険なランサムウェア型トロイの木馬の拡散についてメディアで報道されました。このトロイの木馬は、スマートフォンやタブレットの画面ロックのPINコードを変更し、ユーザーのファイルを暗号化して、デバイスを元通り操作できるようにするために身代金を要求します。この悪意のあるプログラムは2017年8月に Android.Banker.184.origin としてDr.Webのウイルスデータベースに追加されているため、Dr.Webユーザーに危害が及ぶことはありません。
起動されると、このトロイの木馬はAccessibility Service(アクセシビリティサービス)へのアクセスを試みます。このサービスを使用して、自身をデバイス管理者のリストに自動的に追加させるためです。次に、画面をロック解除するPINコードを変更し、ユーザーのファイル(写真、動画、ドキュメント、音楽など)を暗号化して、身代金を要求するメッセージを表示させます。この悪意のあるプログラムには、10 MBよりも大きいサイズのファイルは暗号化しないというバージョンも存在します。
一部のメディアでは、 Android.Banker.184.origin の持つ機能はユニークであると報じられていましたが、同様の機能を使用するトロイの木馬はこれまでにも確認されています。さかのぼること2014年、Doctor Webはデバイスの画面ロックを解除するために自身のコードをインストールする、Android向けランサムウェア型トロイの木馬 Android.Locker.38.origin を発見しました。2014年は、初のAndroid向けランサムウェア型トロイの木馬 Android.Locker.2.origin が出現した年でもあります。ccessibility Serviceを使用して悪意のある動作(管理者リストに悪意のあるアプリケーションを自動的に追加するなど)を実行するという機能もまた、これまでにAndroid向けトロイの木馬で使用されているものです。 Android.BankBot.211.origin がその例です。
サイバー犯罪者は依然としてGoogle Playからトロイの木馬を拡散し続け、悪意のあるプログラムを改良し続けています。Doctor Webでは、モバイルデバイスを感染から守るためにAndroid向けのDr.Webアンチウイルス製品をインストールすることをお勧めしています。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億回以上のダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2017年10月27日
株式会社Doctor Web Pacific
2017年10月は、 Trojan.BadRabbit と名付けられた新たな暗号化ワームの出現によって、情報セキュリティスペシャリストのみでなく、すべてのインターネットユーザーにとって忘れられない月となるでしょう。このトロイの木馬の拡散は10月24日に始まり、主にロシアとウクライナのコンピューターが攻撃を受けました。
また、10月にはPythonで書かれたバックドアについて、Doctor Webのウイルスアナリストによる調査が行われました。この悪意のあるプログラムはポピュラーなブラウザから情報を盗み、キーストロークを記録し、感染したコンピューター上に様々なファイルをダウンロードして保存し、そしてその他の悪意のある機能を多数実行します。
そのほか、スペシャリストは様々な「スマート」デバイスを感染させるLinux向けトロイの木馬の新たなバージョンについても調査を行いました。
10月の主な傾向
- 新たな暗号化ワームBadRabbitの拡散
- Pythonで書かれた新たなバックドアの登場
- IoTを標的とする新たなLinux向けトロイの木馬を検出
10月の脅威
これまでのものと同様、 Trojan.BadRabbit もまた、ユーザーの介入なしに自動的に拡散されるワームです。このワームは複数のコンポーネントで構成されています。ドロッパー、デコード機能も備えたエンコーダー、そして暗号化ワーム自体です。BadRabbit のコードの一部は、 NotPetya としても知られる Trojan.Encoder.12544 から引き継がれています。起動されると、このエンコーダーは C:\Windows\cscc.dat ファイルの存在を確認し、ファイルが見つかった場合は自身の動作を停止します(C:\Windowsフォルダ内での cscc.dat の作成が、トロイの木馬の起動による有害な影響を妨げることができるように)。
一部のリサーチャーによると、Trojan.BadRabitのソースは悪意のあるJavaScriptと一緒にHTMLコードが挿入されている感染した複数のWebサイトであるということです。エンコーダーは次の拡張子を持つファイルを暗号化します:
.3ds、 .7z、 .accdb、 .ai、 .asm、 .asp、 .aspx、 .avhd、 .back、 .bak、 .bmp、 .brw、 .c、 .cab、 .cc、 .cer、 .cfg、 .conf、 .cpp、 .crt、 .cs、 .ctl、 .cxx、 .dbf、 .der、 .dib、 .disk、 .djvu、 .doc、 .docx、 .dwg、 .eml、 .fdb、 .gz、 .h、 .hdd、 .hpp、 .hxx、 .iso、 .java、 .jfif、 .jpe、 .jpeg、 .jpg、 .js、 .kdbx、 .key、 .mail、 .mdb、 .msg、 .nrg、 .odc、 .odf、 .odg、 .odi、 .odm、 .odp、 .ods、 .odt、 .ora、 .ost、 .ova、 .ovf、 .p12、 .p7b、 .p7c、 .pdf、 .pem、 .pfx、 .php、 .pmf、 .png、 .ppt、 .pptx、 .ps1、 .pst、 .pvi、 .py、 .pyc、 .pyw、 .qcow、 .qcow2、 .rar、 .rb、 .rtf、 .scm、 .sln、 .sql、 .tar、 .tib、 .tif、 .tiff、 .vb、 .vbox、 .vbs、 .vcb、 .vdi、 .vfd、 .vhd、 .vhdx、 .vmc、 .vmdk、 .vmsd、 .vmtm、 .vmx、 .vsdx、 .vsv、 .work、 .xls、 .xlsx、 .xml、 .xvd、 .zip
データが暗号化されると、感染したコンピューターにはBitcoinでの身代金の支払いを要求するメッセージが表示されます。TOR上のサイバー犯罪者のサイトには、被害者は48時間以内に身代金を支払うよう記載されています。この時間を過ぎると要求される金額が上がります。
Trojan.BadRabbit についての調査は引き続き現在も行われています。Dr.Web Anti-virusはこの悪意のあるプログラムを検出・削除することができます。また、調査の結果、このトロイの木馬はシステム上にDr.WebとMcAfeeのアンチウイルスが存在するかどうかを確認するということが明らかになっています。Dr.Web製品が存在していた場合、 Trojan.BadRabbit はユーザーモードでの暗号化手順をスキップしますが、システムの再起動後にディスクの完全な暗号化を試みます。しかしながら、この動作はDr.Web Anti-virusによってブロックされます。したがって、Dr.Web Anti-virus 9.1以降およびDr.Web KATANAのユーザーは、予防的保護を無効にしていない限り、またはその設定を変更していない限り、 Trojan.BadRabbit の動作による被害を受けることはありません。
Dr.Web Anti-virusによる統計
- Trojan.Exploit
- ヒューリスティックによって検出された、正規のアプリケーションを侵害するために様々な脆弱性を悪用するエクスプロイトです。
- Trojan.Inject
- 他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。
Doctor Web統計サーバーによる統計
- JS.Inject.3
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- Trojan.Starter.7394
- 感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。
- JS.BtcMine.1
- 仮想通貨を密かにマイニングするよう設計されたJavaScriptです。
- W97M.DownLoader
- オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬ファミリーです。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。
- BackDoor.Bebloh.184
- バンキング型トロイの木馬ファミリーに属する悪意のあるプログラムです。ブラウザウィンドウ内のフォームを介して、または銀行のWebページ内に悪意のあるコードを埋め込むことで、ユーザーによって入力された機密情報を盗み取りサイバー犯罪者に提供する機能を備えていることから、オンラインバンキングサービス(RBS)を利用するユーザーにとって深刻な脅威となります。
メールトラフィック内で検出された脅威の統計
- JS.Inject.3
- JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。
- VBS.DownLoader
- 悪意のあるJavaScriptのファミリーです。コンピューター上に悪意のあるソフトウェアをダウンロード・インストールします。
- W97M.DownLoader
- オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬ファミリーです。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。
Dr.Web Bot for Telegramによって収集された統計
- Android.Locker
- Androidを標的とするランサムウェア型トロイの木馬のファミリーです。これらトロイの木馬の様々な亜種はデバイスをロックし、ユーザーが違法行為を犯したとする警告を表示させます。ユーザーはデバイスのロックを解除するために身代金を支払うよう要求されます。
- Android.Spy.337.origin
- ユーザーのパスワードなど個人情報を盗むAndroid向けトロイの木馬です。
- Android.Hidden
- 感染させたデバイスのアプリケーションリスト内で自身のショートカットを隠す機能を備えたAndroid向けトロイの木馬です。
- Program.TrackerFree.2.origin
- Mobile Tracker Freeと呼ばれる、子どもを追跡するアプリケーションです。
暗号化ランサムウェア
2017年10月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:
- Trojan.Encoder.3953 — リクエストの17.26%
- Trojan.Encoder.858 — リクエストの16.67%
- Trojan.Encoder.13671 — リクエストの5.51%
- Trojan.Encoder.2667 — リクエストの4.02%
- Trojan.Encoder.567 — リクエストの2.38%
- Trojan.Encoder.3976 — リクエストの2.23%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します
危険なWEBサイト
2017年10月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は256,429件となっています。
| 2017年9月 | 2017年10月 | 推移 |
|---|---|---|
| + 298,324 | + 256,429 | -14.0% |
LINUXを標的とするマルウェア
10月、Linux搭載「スマート」デバイスを感染させるトロイの木馬について、Doctor Webウイルスアナリストによる調査が行われました。 Linux.IotReapper と名付けられたこの悪意のあるプログラムは、良く知られた Linux.Mirai のまた別の亜種です。 Linux.IotReapper はデバイスをハッキングするためにブルートフォース攻撃によってログインとパスワードを割り出すのではなく、エクスプロイトを起動させ、その結果を確認します。続けて、C&Cサーバーからのコマンドを待ちます。 Linux.IotReapper は感染させたデバイス上に様々なアプリケーションをダウンロードし、それらを実行します。また、2つのモジュール―Luaインタプリタと、8888番ポート上で動作し様々なコマンドを実行することもできるサーバー―を含んでいます。Dr.Web for Linuxは Linux.IotReapper を検出することができます。
その他の情報セキュリティイベント
10月の中旬、 Python.BackDoor.33 のシグネチャがDr.Webウイルスデータベースに追加されました。このトロイの木馬はPythonで書かれたバックドアです。この悪意のあるプログラムは自動的に拡散されます。 Python.BackDoor.33 がインストールされた後にコンピューターが再起動されると、このトロイの木馬はCからZまでの名前を持つすべてのドライブを感染させようとします。次に、トロイの木馬はpastebin.com、docs.google.com、notes.ioなどの複数のインターネットサーバーに対してリクエストを送信することで、IPアドレスとコントロールサーバーの使用可能なポートを検出しようと試みます。受信する値は以下のようになります:
特定の条件下で、Pythonで書かれたスクリプトをC&Cサーバーからダウンロードし、感染したコンピューター上で実行します。このスクリプトはパスワードを盗み(スティーラー)、キー入力を記録し(キーロガー)、リモートでコマンドを実行する(バックドア)機能を備えています。このスクリプトは感染したコンピューター上で以下の操作を実行することを可能にします:
- Chrome、Opera、Yandex、Amigo、Torch、Sparkなどのブラウザから情報を盗む
- キー入力を記録し、スクリーンショットを作成する
- Pythonで書かれた追加のモジュールをロードし、それらを実行する
- ファイルをダウンロードし、感染したデバイスのメディア内に保存する
- 指定されたフォルダのコンテンツを受け取る
- フォルダ間を走査する
- システムに関する情報を要求する
Python.BackDoor.33 に関する詳細については、こちらの記事をご覧ください。
モバイルデバイスを脅かす悪意のある、または望まないプログラム
10月には、Dr.Web によって Android.Banker.184.origin として検出される、Android向けの危険なランサムウェア型トロイの木馬の拡散についてメディアで報道されました。この悪意のあるプログラムは2017年8月よりDoctor Webセキュリティリサーチャーに存在を知られており、感染させたAndroidスマートフォンやタブレットの画面ロックのPINコードを変更し、ファイルを暗号化して、デバイスを元通り操作できるようにするために身代金を要求します。そのほか、10月にはGoogle Play上で Android.SockBot.5 が検出されています。このトロイの木馬は、感染させたモバイルデバイスをサイバー犯罪者がプロキシサーバーとして使用することを可能にします。
中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:
- デバイスの画面ロックのPINコードを変更し、ファイルを暗号化する向けAndroidトロイの木馬についての情報がメディアで報道される
- Androidデバイスをプロキシサーバーとして動作させるランサムウェア型トロイの木馬がGoogle Play上に登場
モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。
2017年9月29日
株式会社Doctor Web Pacific
9月には、BluetoothプロトコルスタックにBlueBorneと呼ばれる複数の脆弱性が存在することが、情報セキュリティスペシャリストによって明らかになりました。これらの脆弱性は、サイバー犯罪者がBluetooth対応デバイスを乗っ取り、デバイス間で悪意のあるプログラムを拡散させたり、密かに機密情報を盗んだりすることを可能にします。そのほか、9月にはGoogle Play上で新たなバンキング型トロイの木馬が発見されています。
9月の主な傾向
- Bluetoothプロトコルの実装に危険な脆弱性が存在するという情報が公開され、Androidスマートフォンやタブレットを含む多くのデバイスが影響を受ける可能性が浮上
- 無害なゲームに埋め込まれたバンキング型トロイの木馬をGoogle Play上で発見
9月のモバイル脅威
9月、BluetoothプロトコルスタックにBlueBorneと呼ばれる一連の脆弱性が存在することが明らかになりました。これらの脆弱性を悪用することで、サイバー犯罪者は幅広い種類のデバイスを乗っ取り、任意のコードを実行したり、機密情報を盗んだりすることが可能になります。OSの「パッチ」をインストールしていないAndroidスマートフォンやタブレットも危険に晒されています。
Doctor Webでは、既知の脆弱性のみでなくプログラムのエラーも検出することができるよう、Dr.Web Security Space for Androidのアップデートに取り組んでいます。
Dr.Web for Androidによる統計
- Android.Click.171.origin
- サイバー犯罪者によって指定されたWebサイトのトラフィックを増やすよう設計されたトロイの木馬ファミリーです。
- Android.DownLoader.337.origin
- モバイルデバイス上に別の悪意のあるプログラムをダウンロードするトロイの木馬です。
- Android.CallPay.1.origin
- アダルトコンテンツへのアクセスを提供すると同時に、そのサービスに対する支払いとして高額な番号へ密かに通話を発信するトロイの木馬です。
- Android.HiddenAds.109.origin
- モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。人気のあるアプリケーションを装って別の悪意のあるプログラムによって拡散され、その際、密かにシステムディレクトリ内にインストールされる場合があります。
- Android.Triada.152
- 様々な悪意のある動作を実行するマルチ機能なトロイの木馬です。
- Adware.Jiubang.2
- Adware.SalmonAds.1.origin
- Adware.Fly2tech.2
- Adware.Avazu.8.origin
- Adware.Jiubang.1
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
GOOGLE PLAY上のトロイの木馬
9月には、バンキング型トロイの木馬 Android.BankBot.234.origin がGoogle Play上で発見されました。このトロイの木馬は無害なゲーム「Jewels Star Classic」内に潜み、起動後しばらくするとAndroidのAccessibility Service(アクセシビリティサービス)へのアクセスを要求します。このサービスを使用して、 Android.BankBot.234.origin は自身のリソース内に隠された Android.BankBot.233.origin を密かにインストール・起動します。 Android.BankBot.233.origin はGoogle Playの起動を追跡し、クレジットカード情報を入力させるための偽の決済フォームを表示させます。入力されたデータはサイバー犯罪者へと送信され、認証コードを含んだSMSメッセージはすべてトロイの木馬に横取りされ、そして被害者の銀行口座から金銭が盗まれます。
Android.BankBot.234.origin の特徴:
- 無害なゲームに埋め込まれています。
- 疑いを抱かれないようにするため、インストール・起動後しばらくしてから悪意のある動作を開始します。
- ダイアログ内のボタンを自動的にタップし、必要なシステムパラメータを有効にし、アプリケーションをインストールするために、デバイスのAccessibility Serviceへのアクセスを取得しようと試みます。
- 感染させたスマートフォンまたはタブレット上に密かにインストールされてクレジットカードの情報を盗むトロイの木馬 Android.BankBot.233.origin をリソース内に含んでいます。
Androidデバイスのユーザーは、インターネットやGoogle Play上で拡散される悪意のあるアプリケーションのみでなく、OSとそのコンポーネントに存在する脆弱性によっても危険に晒されています。Doctor Webでは、利用可能なすべてのアップデートをタイムリーにインストールし、Android向けのDr.Webアンチウイルス製品を使用することをお勧めしています。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億回以上のダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
2017年8月31日
株式会社Doctor Web Pacific
8月には、悪意のあるAndroidアプリケーションがGoogle Play上で多数発見されています。そのうちの1つはDDoS攻撃を実行するトロイの木馬で、また別の悪意のあるプログラムは、サイバー犯罪者の指定したWebサイトを密かに読み込み、バナーを自動的にタップしてウイルス作成者に収益をもたらすよう設計されたものでした。そのほか、起動されたプログラムの前面に偽の入力フォームを表示させてログイン情報やその他の機密情報を盗むAndroidトロイの木馬、さらに、他の悪意のあるアプリケーションをインストールするよう設計されたドロッパー型トロイの木馬もGoogle Play上で検出されています。
8月の主な傾向
- Webサイトに対してDDoS攻撃を実行する悪意のあるAndroid向けプログラムの発見
- 無害なプログラムを装って拡散される、Android向けのバンキング型トロイの木馬をGoogle Play上で発見
- 他の悪意のあるアプリケーションをインストールするよう設計されたトロイの木馬がGoogle Play上に侵入
8月のモバイル脅威
8月、Google Play上で Android.Click ファミリーに属する新たなトロイの木馬が複数発見され、そのうちの2つは、それぞれ Android.Click.268 および Android.Click.274 と名付けられました。これらトロイの木馬はモバイルデバイス上で起動されると、サイバー犯罪者によって指定されたWebサイトの複数のコピーを開くことで、それらのサイトに対して密かに DDoS(Denial of service) 攻撃を実行します。また、コマンドに応じて、標的となるサーバーに対して大量のネットワークパケットを送信することもできます。その結果、これらのプログラムをダウンロードしてデバイスを感染させてしまったAndroidスマートフォンやタブレットのユーザーは、意図せずサイバー犯罪に加担させられることになります。
Android.Click.269 としてDr.Webデータベースに追加されたまた別のトロイの木馬は、サイバー犯罪者のコマンドで指定されたWebサイトを密かに開き、そこに表示されたバナーをタップします。これにより、悪意のあるアプリケーションの作成者に収益がもたらされます。また、 Android.Click.269 は感染したAndroidデバイスの画面がロック解除されると同時に広告を表示させることもできます。
上記トロイの木馬はすべて、YouTube動画を再生するためのソフトウェアに埋め込まれていました。
Android.Click.268 および Android.Click.274の特徴:
- サイバー犯罪者によって指定されたWebリソースの20のコピーを密かに読み込むことで、Webサイトに対してDDoS攻撃を実行する
- コマンド内で指定されたサーバーのポートに対して1000万のパケットを送信することで、UDPプロトコル経由でリモートホストに対してDDoS攻撃を実行することが可能
Android.Click.269 の特徴:
- サイバー犯罪者のコマンド内で指定されたWebサイトを密かに開き、広告バナーを自動的にタップすることで、トロイの木馬の作成者に収益をもたらす
- 感染したAndroidデバイスの画面がロック解除されると広告を表示させる
Dr.Web for Androidによる統計
- Android.DownLoader.337.origin
- Android.DownLoader.526.origin
- 別のアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.CallPay.1.origin
- アダルトコンテンツへのアクセスを提供すると同時に、そのサービスに対する支払いとして高額な番号へ密かに通話を発信するトロイの木馬です。
- Android.HiddenAds.85.origin
- Android.HiddenAds.83.origin
- モバイルデバイス上に望まない広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Adware.Jiubang.2
- Adware.Fly2tech.2
- Adware.SalmonAds.1.origin
- Adware.Jiubang.1
- Adware.Batmobi.4
- Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる望まないプログラムモジュールです。
GOOGLE PLAY上のトロイの木馬
夏最後の月には、Android.BankBot.225.origin と名付けられたバンキング型トロイの木馬がDr.Webウイルスデータベースに追加されました。Google Playから拡散されていたこのトロイの木馬は、広告のプログラムをインストールすることでユーザーが商品券を得ることのできるアプリケーション「Earn Real Money Gift Cards」内に隠されていました。
Android.BankBot.225.originはバンキングアプリケーションやその他のアプリケーションの起動をトラッキングし、それらのウィンドウの前面に機密情報を入力するための偽の入力フォームを表示させます。また、サイバー犯罪者から該当するコマンドを受け取った場合は、感染したデバイス上にその他のプログラムをダウンロードし、それらをインストールしようと試みます。
8月にGoogle Play上で検出されたまた別のトロイの木馬は Android.MulDrop.1067 としてDr.Webウイルスデータベースに追加されました。このトロイの木馬はゲーム「Bubble Shooter Wild Life」内に潜み、起動するたびに、他のアプリケーションの前面にインターフェースエレメントを表示させるパーミッションを要求します。
起動後しばらくたつと、 Android.MulDrop.1067 は該当する通知を表示させることでアクセシビリティサービスへのアクセスを取得しようと試みます。デバイス所有者がこの権限を与えてしまうと、 Android.MulDrop.1067 はダイアログ内のボタンを自動的にタップし、すべての動作を確定することで、勝手に他のAndroidアプリケーションをインストールすることができるようになります。 Android.MulDrop.1067 はインストールするべきAPKファイルがメモリーカード上にあるかどうかをチェックしますが、現在のバージョンの Android.MulDrop.1067 には隠しファイルは含まれておらず、それらをインターネットからダウンロードする機能も備わっていません。このことから、このトロイの木馬は未だ開発途上であると言うことができます。
サイバー犯罪者はありとあらゆる手段を用いてGoogle PlayからAndroidトロイの木馬を拡散しています。犯罪者はモバイルデバイスの感染確率を上げるために悪意のあるプログラムを十分に機能するアプリケーション内に埋め込み、トロイの木馬の検出を可能な限り遅らせるために様々な方法を用いてセキュリティチェックを回避しようとしています。Doctor Webでは、お使いのAndroidスマートフォンやタブレットを最新の脅威から保護するために、 Dr.Web for Android をインストールすることを推奨しています。
2017年8月4日
株式会社Doctor Web Pacific
7月、Androidスマートフォンの複数のモデルにトロイの木馬がプリインストールされていることが、Doctor Webのセキュリティリサーチャーによって発見されました。サイバー犯罪者によってシステムライブラリ内に埋め込まれたこのトロイの木馬は、アプリケーションプロセス内に侵入し、追加のモジュールを密かにダウンロード・起動することができます。また、ダウンローダ型トロイの木馬の組み込まれたゲームがGoogle Play上で発見されたほか、感染したデバイスのコントロールを掌握して個人情報を盗む危険なバンキング型トロイの木馬についてアナリストによる調査が行われました。
7月の主な傾向
- Android デバイスの複数のモデルでファームウェアに組み込まれたトロイの木馬を検出。このトロイの木馬はアプリケーションプロセス内に侵入し、追加のモジュールを密かにダウンロード・起動します。
- Google Play上でダウンローダ型トロイの木馬を発見
- 危険なバンキング型トロイの木馬を発見
7月のモバイル脅威
7月、Doctor Webのセキュリティリサーチャーによって、Android モバイルデバイスのシステムライブラリ内に埋め込まれた Android.Triada.231 が発見されました。この悪意のあるプログラムはアプリケーションのプロセスに侵入し、追加のモジュールを密かにダウンロード・起動することができます。 Android.Triada.231 はAndroidデバイスの複数のモデルで同時に検出されています。
Android.Triada.231 の特徴:
- ソースコードレベルでシステムライブラリ内に侵入する
- 実行可能なすべてのアプリケーションのプロセスに侵入し、悪意のあるモジュールを埋め込む
- トロイの木馬をデバイスから削除するには、オリジナルのシステムイメージをインストールする必要がある
この脅威に関する詳細についてはこちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.DownLoader.337.origin
- Android.DownLoader.526.origin
- 別のアプリケーションをダウンロードするよう設計されたトロイの木馬です。
- Android.HiddenAds.85.origin
- Android.HiddenAds.68.origin
- Android.HiddenAds.83.origin
- モバイルデバイス上に望まない広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Adware.Avazu.8.origin
- Adware.SalmonAds.1.origin
- Adware.Jiubang.1
- Adware.Batmobi.4
- Adware.Cootek.1.origin
- Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる不審なプログラムモジュールです。
GOOGLE PLAY上のトロイの木馬
7月、人気のゲームBlazBlueに組み込まれた Android.DownLoader.558.origin がDoctor Webのスペシャリストによって発見されました。この悪意のあるプログラムはソフトウェアのアップデートを最適化するために設計されたシステムモジュール内に含まれていました。
このトロイの木馬の危険な点は、未検査のアプリケーションコンポーネントをダウンロード・起動してしまう可能性があるというところにあります。この脅威に関する詳細についてはこちらの記事をご覧ください。
バンキング型トロイの木馬
7月には、危険なバンキング型トロイの木馬 Android.BankBot.211.origin が検出されました。このトロイの木馬はAndroid のAccessibility Serviceへのアクセス権を取得しようと試み、感染させたデバイスをコントロールし、パスワードを含むあらゆるデータをキーボード入力から盗むことができます。また、起動されたバンキングプログラムや決済サービスソフトウェア、その他のアプリケーションの前面に機密データを入力させる偽の入力フォームを表示させます。この脅威に関する詳細についてはこちらの記事をご覧ください。
サイバー犯罪者は、依然としてAndroidモバイルデバイスのユーザーに対する攻撃の手を緩めていません。トロイの木馬の機能を継続的に向上させ、あらゆる方法で拡散しようと画策しています。Doctor Webでは、お使いのスマートフォンやタブレットを悪意のあるアプリケーションから保護するために、Dr.Web for Androidをインストールすることを推奨しています。
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億回以上のダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
27.07 Dr.Web : Androidデバイスにプリインストールされたアプリケーションのプロセス を感染させ、悪意のあるモジュールをダウンロードするトロイの木馬
2017年7月27日
株式会社Doctor Web Pacific
Android.Triadaファミリーに属する他のトロイの木馬は悪意のある動作を実行するためにルート権限の取得を試みますが、 Android.Triada.231 はそれらトロイの木馬とは異なり、 libandroid_runtime.so システムライブラリ内に埋め込まれています。 Leagoo M5 Plus、 Leagoo M8、 Nomu S10、 Nomu S20を含む複数のモバイルデバイスで Android.Triada.231 の改変されたバージョンが発見されています。 libandroid_runtime.so はすべてのAndroidアプリケーションによって使用されるため、感染したシステム上で実行中のすべてのアプリケーションのメモリ内で悪意のあるコードが見つかります。
Android.Triada.231 はライブラリのソースコード内に埋め込まれています。このことから、トロイの木馬は感染したモバイルデバイスのファームウェア製造に関わっていた内部者や悪徳な提携企業によって拡散されたものと推測されます。
libandroid_runtime.so 内に埋め込まれていることから、 Android.Triada.231 はデバイス上のアプリケーションがシステムログに記録を行うたびにコントロールを掌握すると言うことができます。アプリケーション起動の前に Zygote が起動されるため、トロイの木馬の初回起動も Zygote によって実行されます。
初期化の後、この悪意のあるプログラムはいくつかのパラメータを設定し、作業ディレクトリを作成します。次に自身の実行環境を確認し、Dalvik環境であった場合はシステムメソッドの1つを横取りします。これにより、すべてのアプリケーションの起動を追跡し、それらの起動後直ちに悪意のある動作を開始することが可能になります。
Android.Triada.231 の主要な機能は、トロイの木馬の他のコンポーネントをダウンロードする悪意のある追加のモジュールを密かに起動させることです。そのために、 Android.Triada.231 は作成しておいた作業ディレクトリ内に特別なサブディレクトリがあるかどうかを確認します。サブディレクトリの名前には、プロセス内にトロイの木馬が侵入したアプリケーションの、ソフトウェアパッケージ名のMD5値が含まれています。そのようなサブディレクトリを見つけると、 Android.Triada.231 は次に、そこに含まれている 32.mmd または 64.mmd ファイル (それぞれ32ビット版および64ビット版OS) を探します。ファイルを見つけると、それを復号化して libcnfgp.so として保存し、システムメソッドの1つを使用してRAM内にロードします。続けて、復号化したファイルをデバイスから削除します。必要なオブジェクトが見つからなかった場合、 Android.Triada.231 は 36.jmd ファイルを探し、復号化して mms-core.jar として保存した後、クラスローダ DexClassLoader を使用して起動し、作成したコピーを削除します。
その結果として、 Android.Triada.231 はトロイの木馬の様々なモジュールをあらゆるアプリケーションのプロセスに侵入させ、それらの動作に影響を及ぼすことができます。例えば、ウイルス作成者は銀行のアプリケーションから機密情報を盗むためやサイバースパイモジュール用に、またはソーシャルメディアクライアントやメッセンジャーでのやり取りを横取りする目的で、悪意のあるプラグインをダウンロード・起動するトロイの木馬を作ることが可能です。
また、 Android.Triada.231 は libandroid_runtime.so からモジュール Android.Triada.194.origin を抽出することができます。 Android.Triada.194.origin は暗号化された形でライブラリ内に保存されています。その主な機能は、インターネットから悪意のある追加のコンポーネントをダウンロードし、それらのコンポーネントが相互に連携するようにすることです。
Android.Triada.231 はOSのライブラリの1つに埋め込まれ、システムセクション内に存在することから、標準的な方法では削除することができません。このトロイの木馬を削除する安全かつ確実な唯一の方法はクリーンな Android ファームウェアをインストールすることです。Doctor Webでは、この問題について、感染したスマートフォンの製造業者に対して報告を行いました。該当するデバイス向けにアップデートがリリースされると考えられます。ユーザーの皆様は、それらをすべてインストールするようにしてください。
19.07 Doctor Web:危険なAndroid向けバンキング型トロイの木馬が モバイルデバイスのコントロールを掌握
2017年7月18日
株式会社Doctor Web Pacific
Android.BankBot.211.origin は、Adobe Flash Playerなどの無害なプログラムを装って拡散されています。ユーザーによってインストール・起動されると、Accessibility Serviceへのアクセス権を取得しようと試みます。その際、 Android.BankBot.211.origin はアクセス許可を要求するウィンドウを表示させますが、このウィンドウは閉じようとする度に何度も開き、デバイスの使用を妨げます。
Accessibility ServiceはAndroidスマートフォンやタブレットの使用を簡易化するためのもので、障害を持つ人々でも使いやすいようにするなど、様々な方法で使用されます。このサービスによって、プログラムは様々なインターフェースエレメントを自動的にクリックすることができるようになります (ダイアログボックスやシステムメニュー内のボタンなど) 。 Android.BankBot.211.origin はこれらの権限をユーザーに要求し、取得に成功すると自身を自動的にデバイス管理者リストに加えます。次に、自身をデフォルトのメッセージマネージャーとして設定し、画面キャプチャ機能へのアクセスを取得します。これら全てのアクションでシステム要求が表示されますが、トロイの木馬によって直ちに確定されるため、多くの場合ユーザーは見落としてしまいます。後の段階で、ユーザーが Android.BankBot.211.origin の取得したいずれかの機能を無効にしようと試みた場合、トロイの木馬はそれを拒否し、ユーザーをシステムメニューに戻します。
デバイスを感染させた後、トロイの木馬はC&Cサーバーに接続し、そこにモバイルデバイスを登録してコマンドを待ちます。 Android.BankBot.211.origin は以下のアクションを実行することができます:
- コマンドで指定された番号に対し、特定のテキストを含むSMSを送信する
- デバイスメモリ内に保存されているSMSデータをサーバーに送信する
- インストールされているアプリケーション、連絡先リスト、通話データに関する情報をサーバーに送信する
- コマンドで指定されたリンクを開く
- C&Cサーバーのアドレスを変更する
また、このトロイの木馬は送受信するすべてのSMSをトラッキングし、それらをサイバー犯罪者に送信します。
標準的なコマンドに加え、サイバー犯罪者はトロイの木馬に特別な指示を送信することができます。それらには Android.BankBot.211.origin が攻撃するアプリケーションに関する暗号化された情報が含まれています。そのようなコマンドを受け取った Android.BankBot.211.origin は以下の動作を実行することができます:
- 起動されたバンキングプログラムの前面に偽のログイン入力フォームを表示させる
- クレジットカード情報を入力するようユーザーを促すフィッシングダイアログを表示させる (Google Playで何かを購入した場合など)
- アンチウイルスや、トロイの木馬の動作を邪魔するその他のアプリケーションの動作をブロックする
Android.BankBot.211.origin は、あらゆるアプリケーションのユーザーを攻撃することができます。サイバー犯罪者は攻撃対象となるプログラムのリストを設定ファイル内で変更するだけです。 Android.BankBot.211.origin はC&Cサーバーに接続すると直ちにこのリストを受け取ります。 Android.BankBot.211.origin が発見された当初、攻撃の対象とされていたのはトルコの銀行の利用者のみでした。しかしながら、その範囲は後に、ドイツ、オーストラリア、ポーランド、フランス、英国、米国を含む国々へと拡大しています。本記事掲載時点で、このトロイの木馬による攻撃を受けたプログラムには、決済システム、リモート・バンキング・サービス (RBS) 、およびその他のソフトウェアと連動するよう設計された50を超えるアプリケーションが含まれています。
以下は Android.BankBot.211.origin によって表示される偽のウィンドウの例です:
このトロイの木馬は、起動されたすべてのアプリケーションと、それらを使用するユーザーの操作に関する情報も収集します。例えば、メニューエレメントなどの入力可能なテキストフィールドをモニタリングし、ボタンやユーザーインターフェースのその他のコンポーネントのクリックを記録します。
さらに、 Android.BankBot.211.origin はユーザーがあらゆるプログラム内で、またはあらゆるWebサイト上で入力したログイン認証やその他の認証情報を盗む機能を備えています。パスワードを盗むために、 Android.BankBot.211.origin は全てのキーストロークのスクリーンショットを撮り、必要な文字列を取得した後、それらを隠します。表示されたフィールド内に入力された情報と保存されたすべてのスクリーンショットは、C&Cサーバーに送信されます。
Android.BankBot.211.origin はユーザーによる削除を阻むことから、感染してしまった場合は以下の操作を行う必要があります:
- 感染したスマートフォンまたはタブレットをセーフモードで起動する
- システム設定にログインし、デバイス管理者リストを開く
- リスト内でトロイの木馬を探し、該当する権限を無効にする (その際、トロイの木馬は重要なデータがすべて失われる旨の警告を出すことでユーザーを脅しますが、これらはただのトリックで、ファイルは安全です)
- デバイスを再起動させてアンチウイルスによるフルスキャンを実行し、スキャン完了後にトロイの木馬を削除する
Android.BankBot.211.origin のすべての既知のバージョンはDr.Web Anti-virus によって検出されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
05.07 100万を超えるダウンロード数:Doctor Web、Google Play上で また新たなAndroid向けトロイの木馬を発見
2017年7月5日
株式会社Doctor Web Pacific
Android.DownLoader.558.origin と名付けられたこの悪意のあるアプリケーションは人気の高いゲームBlazBlueに組み込まれ、100万件を超えてダウンロードされていました。このトロイの木馬は、Android向けプログラムのアップデートを自動化・簡略化するために設計された「Excelliance」と呼ばれる特別なソフトウェアパッケージ(SDK、ソフトウェア開発キット)の一部です。
アプリケーションの古いバージョン全体を新しいバージョンと入れ替える標準的なアップデート方法とは異なり、上記のSDKは、ソフトウェアパッケージ全体を再インストールすることなく必要なコンポーネントのみを個別にダウンロードすることを可能にします。これにより、デベロッパーはユーザーが新しいバージョンのリリースを把握していない場合でも、モバイルデバイス上にインストールされたソフトウェアを常に最新のバージョンに保つことが可能になります。しかしながら、Excellianceは未検査のアプリケーションコンポーネントをダウンロード・起動してしまう可能性があるため、ダウンローダ型トロイの木馬として動作すると言うことができます。このアップデート方法は危険であり、Google Playの規則に違反しています。
Android.DownLoader.558.origin は、自身が組み込まれているプログラムまたはゲームの初回起動と同時に動作を開始します。このトロイの木馬は、他のアプリケーションエレメントと一緒に、ディレクトリからリソースと共に抽出されて復号化されます。その後は、ユーザーが感染したアプリケーションを起動しなくとも、モバイルデバイスがインターネットに接続される度に自動的に起動します。
このトロイの木馬モジュールは、ネットワークアクティビティを追跡し、C&Cサーバーへの接続を試みます。サーバーの設定により、 Android.DownLoader.558.origin は応答として、別のプログラムコンポーネントをダウンロードするコマンドを受け取る場合があります。例えばBlazBlueの場合、欠けているファイルやアップデートがあれば、モジュールはそれらをダウンロードするよう提案します。
アプリケーションの追加のリソースやアップデートに加え、 Android.DownLoader.558.origin は個別のAPKファイル、DEXファイル、ELFファイルをダウンロードすることができます。これらのファイルはユーザーに気付かれずに起動される場合があります。例えば、ダウンロードされたDEXファイルのコードはユーザーの操作を必要とせず、自動的に実行されます。
一方、ダウンロードされたAPKファイルのインストールが行われる際は、ユーザーに対して標準的なダイアログボックスが表示されます。 ただし、 Android.DownLoader.558.origin がルート権限を持っている場合、インストールはユーザーに気付かれずに実行されます。これが、SDK「Excelliance」の最も危険な点です。その製作者によって、いつメインのアプリケーションに全く関係のないオブジェクトをダウンロードするよう指示するコマンドが送信されないとも限りません。そのようなオブジェクトとして、広告モジュールや第三者プログラム、さらにはGoogle Play以外からダウンロードされて許可なしに実行される別のトロイの木馬などが挙げられます。
Doctor Webでは、ゲーム「BlazBlue」で使用されているSDKに含まれるトロイの木馬コンポーネントの危険な動作についてGoogle社に報告を行いました。しかしながら、本記事掲載時点で、 Android.DownLoader.558.origin を含んだバージョンのBlazBlueはGoogle Play上でダウンロード可能な状態のままとなっています。
Android.DownLoader.558.origin を含んだアプリケーションはDr.Web for Androidアンチウイルス製品によって検出されます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
