2019年6月17日

株式会社Doctor Web Pacific

Google Chromeを使用して疑わしいWebサイトを開き、そのサイト上でユーザーを広告通知に登録させるトロイの木馬 Android.FakeApp.174 が、Doctor Webのエキスパートによって発見されました。これらの通知はブラウザが閉じている場合でも表示され、システム通知と間違えられる可能性があります。このような通知はAndroidデバイスのユーザーに煩わしい思いをさせるだけでなく、金銭や機密情報を盗む目的で使用されるようになる恐れがあります。

Webプッシュ通知を使用することで、Webサイトはブラウザでそのページが開かれていない場合でもユーザーが同意すれば通知を送信することが可能になります。無害なWebサイトであれば、この機能は有益で便利なものになります。たとえば、ソーシャルメディアはユーザーに新しいメッセージについて通知することができ、ニュースサイトは新しい記事について知らせることができます。一方で、ハッキングされたサイトや悪意のあるサイトからの広告や偽の通知を拡散させるために、サイバー犯罪者や悪質な広告主によってこの機能が悪用される可能性もはらんでいます。

プッシュ通知はモバイルデバイスのほか、デスクトップパソコンやートパソコンのブラウザでもサポートされています。通常、被害者は特別に作成されたリンクや広告バナーをクリックすることで危険なスパムサイトへ飛ばされます。 Android.FakeApp.174 は、犯罪者がそのようなWebサイトの訪問者数を増加させ、スマートフォンやタブレットのユーザーにプッシュ通知を登録させることを可能にする最初のトロイの木馬の1つです。

Android.FakeApp.174 は便利なプログラム（有名なブランドの公式ソフトウェアなど）を装って拡散されています。6月上旬、Google Play上でこのトロイの木馬の2つの亜種がDoctor Webのマルウェアアナリストによって発見されました。報告を受けたGoogle社によってマルウェアは削除されましたが、すでに1100人を超えるユーザーがそれらをダウンロードしていました。

起動されると、トロイの木馬はその設定内で指定されているWebサイトをGoogle Chromeで開きます。そのページからさまざまなアフィリエイトプログラムのページへと何度かリダイレクトを実行し、それらすべてのページでユーザーに通知の許可を要求します。その際、ユーザーに対して、認証のため（ユーザーがロボットでないことを確認する、など）であると説明したり、またはただ単にダイアログ内のどのボタンをクリックするかを示したりすることで、疑いを抱かれないようにしています。こうして、トロイの木馬は登録数を増やしていきます。以下の画像は通知の許可を求める画面の例です。

登録が完了すると、Webサイトはユーザーに対して疑わしい内容の通知を大量に送信しはじめます。これらの通知はブラウザが閉じられ、トロイの木馬がすでに削除されている場合でもOSのステータスバーに表示されます。その内容は、キャッシュボーナスや送金、ソーシャルメディア上の新しいメッセージに関する偽の通知から、星占い、カジノ、商品やサービスの広告、さらにはさまざまな「ニュース」まで、あらゆるものがあります。

それらの多くは実際のオンラインサービスやデバイス上にインストールされているアプリケーションの本物の通知のように見えます。たとえば、銀行、出会い系サイト、ニュースサイト、ソーシャルネットワークのロゴや目立つバナーが表示されます。このようなスパムメッセージが、場合によっては1日に数十通もAndroidデバイスユーザーに対して送信されます。

それらの通知には送信元となるWebサイトのアドレスも表示されていますが、警戒していないユーザーは気が付かなかったり、気に留めないこともあります。以下の画像は偽の通知の例です。

通知をクリックすると、ユーザーは疑わしいコンテンツを含むWebサイトへとリダイレクトされます。そのようなサイトには、カジノ、ベッティングショップ、さまざまなGoogle Playアプリケーション、割引やクーポン、偽のオンライン調査や賞品の抽選、パートナーリンクのアグリゲーター、そしてユーザーの住んでいる国によって異なるその他のオンラインリソースが含まれます。以下はそのようなサイトの例です。

これらリソースの多くは金銭を盗むための良く知られた詐欺スキームに使用されているものですが、今後、機密情報を盗むための攻撃に使用される可能性もあります。たとえば、銀行やソーシャルネットワークからのものを装った「重要な」通知をブラウザ経由で送信することで、ユーザーに偽の通知を本物であると思わせることができます。通知をタップしてしまったユーザーはフィッシングサイトへリダイレクトされ、そこで名前や認証情報、メールアドレス、クレジットカード番号、その他の機密情報を入力するよう求められます。

Doctor Webのエキスパートは、サイバー犯罪者は疑わしいサービスを宣伝するためにこの手法をより積極的に使用するようになるものとみています。モバイルユーザーはWebサイトを訪問する際には注意を欠かさず、見慣れないサイトや疑わしいサイトでは通知を登録しないようにしてください。すでにスパム通知を登録してしまっている場合は、以下の手順を実行してください。

• Chromeの設定を開き、[サイトの設定]で[通知]を選択します。
• 通知が有効になっているWebサイトのリストから該当するアドレスを見つけ、それをタップして、[消去してリセット]を選択します。

Dr.Web for Androidは Android.FakeApp.174 の既知の亜種をすべて検出し、削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Android.FakeApp.174の詳細(英語)

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

• Android向けロシア初のアンチウイルス
• Google Playからのダウンロード数が、1.4億件を突破しました
• 個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード

2019年6月5日

株式会社Doctor Web Pacific

Dr.Web の統計によると、5月には4月と比較してユニークな脅威の数に1.49%の増加が見られました。検出されたすべての脅威の合計数は14.51%増加しています。マルウェアや不要なプログラムに関する統計では、アドウェアとインストーラが多く検出されています。メールトラフィック内で検出されるマルウェアは、依然としてMicrosoft Officeプログラムの脆弱性を悪用したものが多くを占めていますが、5月には危険なトロイの木馬 Trojan.Fbng.8 (FormBook)の拡散にも増加がみられました。

5月の脅威

5月、Doctor WebのリサーチャーはmacOSを狙うユニークなマルウェア Mac.BackDoor.Siggen.20 について注意を喚起しました。このマルウェアは犯罪者が被害者のデバイス上に悪意のあるpythonコードをダウンロードし、実行することを可能にします。さらに、このマルウェアを拡散させているWebサイトはWindowsユーザーもスパイウェア型トロイの木馬 BackDoor.Wirenet.517 (NetWire)に感染させています。 BackDoor.Wirenet.517 は被害者のPCを遠隔操作するためにハッカーによって使用される、良く知られたRATトロイの木馬です。このトロイの木馬は被害者のデバイス上でカメラやマイクを使用するなど、複数の悪意のある機能を備えているうえに、有効なデジタル署名を持っています。

この脅威についての詳細

Doctor Web統計サーバーによる統計

5月の脅威：

Adware.Softobase.12

古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。

Adware.Ubar.13

ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。

Trojan.InstallCore.3553

また別の良く知られたアドウェアインストーラです。広告を表示させ、ユーザーの許可なしに追加のプログラムをインストールします。

Trojan.Winlock.14244

Windows OSとその機能へのユーザーのアクセスをブロックまたは制限するランサムウェア型トロイの木馬です。システムのブロックを解除するために、ユーザーはサイバー犯罪者に身代金を支払うよう要求されます。

Trojan.Starter.7394

被害者のデバイス上で別の悪意のあるソフトウェアを実行するよう設計されたトロイの木馬です。

メールトラフィック内で検出された脅威の統計

5月の脅威：

W97M.DownLoader.2938

Officeアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたシステムに別の悪意のあるプログラムをダウンロードするよう設計されています。

Exploit.ShellCode.69

CVE-2017-11882と呼ばれる脆弱性を悪用する、悪意のあるMicrosoft Office Wordドキュメントです。

Exploit.Rtf.CVE2012-0158

CVE2012-0158と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。

Exploit.Rtf.435

ユーザーのデバイスにトロイの木馬 Trojan.Fbng.8 (FormBook)をダウンロードするために脆弱性 CVE-2017-11882 を悪用する悪意のあるMicrosoft Officeドキュメントです。

Trojan.PWS.Stealer.19347

感染したコンピューターに保存されているパスワードやその他の機密情報を盗むように設計されたトロイの木馬のファミリーです。

活動に増加がみられたマルウェア：

Trojan.Inject3.15480

FormBookとしても知られるトロイの木馬です。個人情報を盗むように設計されていますが、開発者のサーバーからコマンドを受け取ることもできます。

暗号化ランサムウェア

2019年5月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした：

• Trojan.Encoder.18000 — 15.38%
• Trojan.Encoder.858 — 9.89%
• Trojan.Encoder.11464 — 5.49%
• Trojan.Encoder.25574 — 5.49%
• Trojan.Encoder.11539 — 5.27%
• Trojan.Archivelock — 5.05%
• Trojan.Encoder.567 — 1.98%

危険なWebサイト

2019年5月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は223,952件となっています。

モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム

5月には、再びGoogle Playからさまざまな悪意のあるプログラムが拡散されました。広告バナーを表示させ、他のアプリやOSのインターフェースをブロックするトロイの木馬 Android.HiddenAds.1396 がDoctor Webのリサーチャーによって発見されています。5月の下旬にはスパイウェア型トロイの木馬 Android.SmsSpy.10206 と Android.SmsSpy.10263 が発見されました。これらトロイの木馬は受信するSMSを盗み、それらを犯罪者に送信します。

5月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• Google Playから新たなマルウェアが拡散

モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。

2019年6月4日

株式会社Doctor Web Pacific

5月、Androidデバイスは再び、Google Playから拡散される悪意のあるプログラムの標的となりました。それら悪意のあるプログラムにはアドウェア型トロイの木馬 Android.HiddenAds やテキストメッセージを横取りするスパイウェア Android.SmsSpy が含まれていました。

5月のモバイル脅威

5月に検出されたマルウェアに、 Android.SmsSpy ファミリーに属するスパイウェア型トロイの木馬 Android.SmsSpy.10206 と Android.SmsSpy.10263 があります。これらトロイの木馬はインターネットバンキング用のソフトウェアを装ってGoogle Playから拡散されていました。

インストールされて起動されると、これら悪意のあるプログラムは自身をデフォルトのSMSマネージャーとして設定しようと試み、ユーザーに権限を要求します。権限を取得すると、 Android.SmsSpy.10206 と Android.SmsSpy.10263 は受信するすべてのメッセージを横取りし、それらを犯罪者のサーバーに転送します。

このマルウェアには次のような特徴があります：

• スペイン語圏のユーザーを対象にしている
• オープンソースプログラムの SMSdroid を基に作成され、そこにトロイの木馬の機能が追加されている

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.RemoteCode.4411

Android.RemoteCode.197.origin

任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。

Android.HiddenAds.261.origin

Android.HiddenAds.1102

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Adware.Zeus.1

Adware.Jiubang.2

Adware.AdPush.33.origin

Adware.Toofan.1.origin

Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる不要なプログラムモジュールです。

Tool.VirtualApk.1.origin

アプリケーションがAPKファイルをインストールせずに実行することを可能にする、潜在的に危険なソフトウェアプラットフォームです。

アドウェア型トロイの木馬

5月上旬、Doctor Webのアナリストはオーディオプレーヤーを装って拡散されていたトロイの木馬 Android.HiddenAds.1396 をGoogle Play上で発見しました。

この悪意のあるプログラムは実際に音楽を再生しますが、初回起動後にアイコンを隠してしまうため、ユーザーはその後プログラムを起動することができなくなります。 Android.HiddenAds.1396 は迷惑な広告バナーを表示させ、ユーザーが感染したモバイルデバイスを操作することを困難にします。

新たな悪意のあるアプリケーションや不要なアプリケーションは依然としてGoogle Play上に登場し続けています。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

• Android向けロシア初のアンチウイルス
• Google Playからのダウンロード数が、1.4億件を突破しました
• 個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード

2019年5月15日

株式会社Doctor Web Pacific

Doctor Webのリサーチャーによって、macOSを狙うユニークなマルウェアが発見されました。このマルウェアは犯罪者が被害者のデバイス上に悪意のある python コードをダウンロードし、実行することを可能にします。また、このマルウェアを拡散させているWebサイトはWindowsユーザーもスパイウェア型トロイの木馬に感染させています。

4月29日、macOSデバイスを狙う新たな脅威がDoctor Webのリサーチャーによって発見されました。 Mac.BackDoor.Siggen.20 と名付けられたこのマルウェアはハッカーがリモートサーバーから悪意のあるコードをアップロードして実行することを可能にするバックドアであるということが明らかになりました。

Mac.BackDoor.Siggen.20 は、その開発者によって管理されるWebサイトから被害者のデバイスに侵入しています。それらサイトの1つは架空の人物のポートフォリオサイトを装い、もう1つは WhatsApp メッセンジャーの公式サイトを装っています。

ユーザーがこれらのサイトを開くと、そこに埋め込まれたコードがユーザーのOSを特定し、それに応じてバックドアまたはトロイの木馬がダウンロードされます。すなわち、ユーザーがmacOSを使用している場合、そのデバイスは Mac.BackDoor.Siggen.20 に感染し、Windowsデバイスの場合は BackDoor.Wirenet.517 がダウンロードされます。後者は被害者のPCを遠隔操作するためにハッカーによって使用される、良く知られたRATトロイの木馬です。このトロイの木馬は被害者のデバイス上でカメラやマイクを使用するなど、複数の悪意のある機能を備えているうえに、有効なデジタル署名を持っています。

Doctor Webのデータによると、WhatsApp メッセンジャーを装って Mac.BackDoor.Siggen.20 を拡散させているWebサイトを訪問したユーザーの数は、ユニーク IP アドレスから約300人であると計測されています。この悪意のあるサイトは2019年3月24日から稼働しており、これまでのところハッカーによる大規模な活動には使用されていませんが、ユーザーの皆様には注意を怠らず、アンチウイルスをタイムリーにアップデートすることをお勧めします。現時点で、 Mac.BackDoor.Siggen.20 のすべてのコンポーネントを検出することができるのはDr.Webアンチウイルスのみとなっています。

Mac.BackDoor.Siggen.20の詳細(英語)

2019年5月8日

株式会社Doctor Web Pacific

Dr.Web の統計によると、4月には3月と比較してユニークな脅威の数に39.44%の減少が見られました。検出されたすべての脅威の合計数は14.96%減少しています。メールトラフィック内で検出されるマルウェアは、依然としてMicrosoft Officeプログラムの脆弱性を悪用したものが主流となっています。3月に見られた悪意のあるプログラムや不要なプログラムに関する傾向は4月も続き、検出された脅威の大半を悪意のあるブラウザ拡張機能、不要なプログラム、アドウェアが占めています。

非推奨サイトの数は28.04%増加しています。そのようなサイトの1つは動画や音声の編集ソフトウェアと一緒にバンキング型トロイの木馬とスティーラーを拡散させていました。Doctor Webでは4月の初めにこの脅威について記事を掲載しています。また、Doctor Webでは大手国際企業の公式アドレスから送信されるフィッシングニュースレターについても注意を喚起しています。

4月の脅威

Doctor Webは、動画や音声の編集ソフトウェアを配信する人気のWebサイトが侵害されていることについてユーザーに注意を促しました。ハッカーはサイト上のダウンロードリンクをハイジャックし、編集ソフトウェアと一緒に危険なバンキング型トロイの木馬である Win32.Bolik.2 と Trojan.PWS.Stealer （KPOT Stealer）が訪問者のデバイス上にダウンロードされるようにしていました。このトロイの木馬のファミリーは、Webインジェクション、トラフィックの横取り、キーロギングを実行し、さまざまな銀行クライアントシステムから情報を盗むよう設計されています。後日、ハッカーはトロイの木馬 Win32.Bolik.2 を別のマルウェアである Trojan.PWS.Stealer （KPOT Stealer）に変更しています。

この脅威についての詳細(英語)

Doctor Web統計サーバーによる統計

4月の脅威：

Adware.Softobase.12

古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。

Adware.Ubar.13

ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。

Trojan.Starter.7394

被害者のデバイス上で別の悪意のあるソフトウェアを実行するよう設計されたトロイの木馬です。

Adware.Downware.19283

通常、海賊版ソフトウェアのインストーラとして拡散されているアドウェアの一種です。インストールされるとブラウザの設定を変更し、さらに、ユーザーの許可なしに別のソフトウェアをインストールする場合もあります。

メールトラフィック内で検出された脅威の統計

Exploit.ShellCode.69

改変されたMicrosoft Office Wordドキュメントで、悪意のあるコードを実行するために脆弱性 CVE-2017-11882 を悪用します。

Exploit.Rtf.CVE2012-0158

CVE2012-0158と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。

JS.DownLoader.1225

コンピューター上に別のマルウェアをダウンロードしてインストールするよう設計された、 JavaScriptで書かれた様々な悪意のあるコードです。

Trojan.Encoder.26375

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬ファミリーに属する悪意のあるプログラムです。

W97M.DownLoader.2938

Officeアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたシステムに別の悪意のあるプログラムをダウンロードするよう設計されています。

暗号化ランサムウェア

2019年4月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした：

• Trojan.Encoder.858 — 17.95%
• Trojan.Encoder.18000 — 14.65%
• Trojan.Encoder.11464 — 7.69%
• Trojan.Archivelock — 5.49%
• Trojan.Encoder.567 — 3.85%
• Trojan.Encoder.11539 — 3.85%
• Trojan.Encoder.25574 — 2.75%

危険なWebサイト

2019年4月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は345,999件となっています。

モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム

4月、Doctor WebはAndroid OSの複数のクリティカルな脆弱性を悪用する危険なトロイの木馬 Android.InfectionAds.1 について報告しました。これらの脆弱性を利用することで、 Android.InfectionAds.1 はapkファイルを感染させることができるほか、ユーザーの許可なしにプログラムをインストールしたり削除したりすることが可能です。

また、4月にはGoogle Play上でダウンローダ型トロイの木馬やクリッカーなどの新たなマルウェアに加え、インスタグラムの認証情報を盗むスティーラー Android.PWS.Instagram.4 と Android.PWS.Instagram.5 が発見されています。

そのほか、新たなバンキング型トロイの木馬がAndroidスマートフォンやタブレットのユーザーを脅かしました。その中にはトロイの木馬 Android.Banker.180.origin の新たなバージョンやその他のマルウェアが含まれていました。

4月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• Google Playからの悪意のあるプログラムの拡散
• バンキング型トロイの木馬の拡散

2019年5月7日

株式会社Doctor Web Pacific

4月、Doctor WebはAndroid OSの複数の脆弱性を悪用するトロイの木馬 Android.InfectionAds.1 について報告を行いました。これらの脆弱性は、トロイの木馬がプログラムを感染させ、ユーザーの操作なしにソフトウェアをインストール／アンインストールすることを可能にします。また、日本の金融機関から金銭を盗むよう設計されたバンキング型トロイの木馬 Android.Banker.180.origin の新たな亜種がウイルスアナリストによって発見されました。Google Playから拡散されていた悪意のあるプログラムも発見されています。モバイルデバイス上にバンキング型トロイの木馬をダウンロードするダウンローダ型トロイの木馬 Android.DownLoader、 Android.Click ファミリーに属するクリッカー、インスタグラムユーザーのログインとパスワードを盗む Android.PWS.Instagram です。その他のマルウェアもDr.Webのウイルスデータベースに追加されています。

4月のモバイル脅威

4月の初め、Doctor Webは危険なトロイの木馬 Android.InfectionAds.1 について報告を行いました。犯罪者はこのトロイの木馬を無害なソフトウェアに埋め込み、人気のサードパーティAndroidアプリストアから配信していました。このトロイの木馬はAPKファイルを感染させるためにAndroid OSのクリティカルな脆弱性 CVE-2017-13156 を、プログラムをインストール／アンインストールするために同じくクリティカルな脆弱性である CVE-2017-13315 を悪用してします。 Android.InfectionAds.1 は迷惑なバナー広告を表示させることもでき、これにより、ユーザーによるデバイスの操作を困難にします。このトロイの木馬に関する詳細についてはウイルスライブラリをご覧ください。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.HiddenAds.1102

Android.HiddenAds.261.origin

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.RemoteCode.4411

任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。

Android.DownLoader.812.origin

別の悪意のあるプログラムをダウンロードするトロイの木馬です。

Adware.Zeus.1

Adware.AdPush.33.origin

Adware.Toofan.1.origin

Adware.Jiubang.2

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

Tool.VirtualApk.1.origin

アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。

Android版バンキング型トロイの木馬

4月を通して、バンキング型トロイの木馬がAndroidデバイスユーザーを脅かしました。下旬には、マルウェア Android.Banker.180.origin の新たな亜種がDoctor Webのウイルスアナリストによって発見されています。これらの亜種は日本のユーザーをターゲットにした荷物追跡アプリ（「佐川急便」アプリなど）を装って拡散されていました。インストールされると、これらトロイの木馬は自身のアイコンを削除し、ユーザーから姿を隠します。

これら Android.Banker.180.origin の亜種は、ロシアのソーシャルネットワーク Vkontakte 内に特別に作成されたページを介してコントロールされています。そのページでは、「activities（アクティビティ）」フィールドでトロイの木馬のC&Cサーバーのうちの1つの暗号化されたアドレスが指定されています。トロイの木馬は正規表現を使用してこのフィールドを検索し、アドレスを復号化してサーバーに接続します。

これらのトロイの木馬の亜種は、ハッカーから受け取ったコマンドに応じてSMSを傍受または送信し、フィッシングウィンドウを表示し、通話を発信し、デバイスの内蔵マイクを使用して周囲の音声を聞くことができます。また、スマートフォンやタブレットを管理する機能も備えており、Wi-Fiをオンにしたり、モバイルネットワーク経由でインターネットに接続したり、画面をブロックしたりすることができます。

そのほか、 Android.DownLoader ファミリーに属する Android.DownLoader.4303 などの新たなダウンローダがモバイルデバイス上にAndroid版バンカーをダウンロードしていました。それらは金融機関のアプリケーションを装って拡散されていました。

Google Play上のトロイの木馬

ダウンローダのほか、 Android.Click.303.origin や Android.Click.304.origin などのトロイの木馬がGoogle Play上で検出されています。これらのトロイの木馬はゲームやテレビ番組を見るためのプログラムなど、無害なアプリケーションを装って拡散されていました。Doctor Webのウイルスアナリストによって、これらトロイの木馬36個が検出されています。15万1,000人を超えるユーザーがそれらをインストールしています。

これら悪意のあるソフトウェアは複数の WebView で隠れたアクティビティを開きます。それらの1つにはコマンドを取得するためのWebサイトがロードされ、その他の WebView はハッカーがユーザーのアクションを模倣するための様々なJavaスクリプトや指定されたサイトをロードするために使用されます。ハッカーはそれらのサイト上でリンクやバナー広告をクリックすることによりクリック数を増加させます。また、被害者の携帯電話会社が Wap-Click テクノロジーをサポートしている場合は、特別なボタンをクリックすることでユーザーを有料サービスに登録させることもできます。これらトロイの木馬は自身のアイコンをOSのメイン画面から隠すことで、その削除を困難にします。

4月下旬、 Android.PWS.Instagram.4 と Android.PWS.Instagram.5 がDr.Webのウイルスデータベースに追加されました。これらトロイの木馬は、いいねとフォロワーを増やしたり、アカウントのセキュリティを強化したりするためのものなど、インスタグラムのユーザーにとって便利なプログラムを装って拡散されていました。起動されると、トロイの木馬はログインとパスワードを入力するようユーザーに要求し、それらのデータを犯罪者のサーバーに送信します。

その他の脅威

トロイの木馬 Android.FakeApp.2.origin もまた、4月にAndroidスマートフォンやタブレットのユーザーを脅かした悪意のあるアプリの1つです。このトロイの木馬はインドのサービスプロバイダーJioのユーザーに対して25GBの無料インターネット通信を提供するというプログラムに隠されていました。

感染数を増やすため、このトロイの木馬は感染させたデバイスのすべての連絡先に、トロイの木馬のコピーのダウンロードページへのリンクを含んだSMSを送信していました。 Android.FakeApp.2.origin の主な目的はバナー広告を表示させることです。

トロイの木馬は悪意のあるサイトのみでなく、公式のGoogle Playストアからも拡散され、Androidデバイスのユーザーを脅かしています。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。

Your Android needs protection.

Use Dr.Web

• The first Russian anti-virus for Android
• Over 140 million downloads—just from Google Play
• Available free of charge for users of Dr.Web home products

Free download

2019年4月12日

株式会社Doctor Web Pacific

Doctor Webのリサーチャーはこの度、良く知られた動画編集ソフトウェアであるVSDCの公式サイトが侵害されていることを発見しました。ハッカーはサイト上のダウンロードリンクをハイジャックし、動画編集ソフトウェアと一緒に危険なトロイの木馬である Win32.Bolik.2 と Trojan.PWS.Stealer （KPOT Stealer）が訪問者のデバイス上にダウンロードされるようにしています。

VSDCは動画や音声を編集するための人気の無料ソフトウェアです。 SimilarWeb の統計によると、毎月130万人近いユーザーがVSDCのサイトを訪問しています。しかしながら、サイトの開発者によるセキュリティ対策はこのような大きなトラフィック量に対するものとては不十分であり、多くのユーザーが危険にさらされています。

昨年、未知のハッカーがVSDCサイトの管理機能にアクセスし、ダウンロードリンクを置き換えました。その結果、ユーザーは編集ソフトウェアの代わりに JavaScript ファイルを受け取り、続けてその JavaScript により AZORult Stealer、 X-Key Keylogger、 DarkVNC バックドアがダウンロードされていました。VSDCチームは脆弱性を解決したと公表しましたが、最近になって、VSDCサイト経由で感染する新たなケースが報告されています。

Doctor Webのリサーチャーによると、VSDC開発者のコンピューターは最初の侵入が発生してから何度か侵害されており、そのハッキングの結果、2019年2月21日から3月23日の間にサイトが再度侵害されているものとみられます。今回、ハッカーたちはマルウェアを拡散させるために前回とは異なる手法を用いています。悪意のある JavaScript コードをVSDCサイト内に埋め込むというものです。このコードの役割は訪問者の位置情報を取得して、英国、米国、カナダ、オーストラリアのユーザーのダウンロードリンクを置き換えることです。VSDCサイトの元のリンクは別の感染したサイトへのリンクに置き換えられます：

• https://thedoctorwithin[.]com/video_editor_x64.exe
• https://thedoctorwithin[.]com/video_editor_x32.exe
• https://thedoctorwithin[.]com/video_converter.exe

感染したサイトからソフトウェアをダウンロードしたユーザーは危険なバンキング型トロイの木馬 Win32.Bolik.2 も一緒に受け取ります。その前身である Win32.Bolik.1 と同様、このトロイの木馬はマルチコンポーネントなポリモーフィック型ファイルウイルスとしての特徴を備えています。このトロイの木馬のファミリーは、Webインジェクション、トラフィックの横取り、キーロギングを実行し、さまざまな銀行クライアントシステムから情報を盗むよう設計されています。現時点で、Doctor Webでは videosoftdev.com サイト経由でこのトロイの木馬に感染した少なくとも565件のケースについて情報を入手しています。これまでのところ、このトロイの木馬のすべてのコンポーネントを検出することができるのはDr.Web製品のみとなっています。

2019年3月22日には、ハッカーはトロイの木馬 Win32.Bolik.2 を別のマルウェアである KPOT Stealer （Trojan.PWS.Stealerの亜種）に変更しています。このトロイの木馬はブラウザやMicrosoftアカウント、複数のメッセンジャー、その他いくつかのプログラムから情報を盗みます。わずか1日で83人のユーザーがこのトロイの木馬をダウンロードしています。

この脅威についてVSDCの開発者に対して報告が行われ、現在、ダウンロードリンクは元のリンクに戻されています。用心のため、VSDCユーザーの方はDr.Webアンチウイルスを使用してデバイスをスキャンすることをお勧めします。

Indicators of compromise (英語)

#banker #banking_trojan #virus

2019年3月22日

株式会社Doctor Web Pacific

本記事は、Androidデバイスのユーザーを標的とするバンキング型トロイの木馬 Flexnet について報告するものです。このマルウェアはキャッシュカードのみでなく、モバイルデバイスのアカウントからも金銭を盗みます。犯罪者は、オンラインゲーム、Webホスティングサービスやその他のサービスへの支払いに Flexnet を利用しています。

Flexnetは、2015年にDoctor Webによる調査が行われた「GM Bot」トロイの木馬を元に作成されています。この悪意のあるアプリケーションのソースコードは2016年に公開され、その後間もなくして Flexnet の最初のバージョンが登場しました。このトロイの木馬を使用したAndroidモバイルデバイスに対する攻撃は今日に至るまで続いています。

トロイの木馬 Flexnet はDrug Vokrug（デート・チャットアプリ）、GTA V、インスタグラムや VKontakte のアカウントプロモーション用ツール、その他のソフトウェアを装い、スパムメールによって拡散されています。メッセージは、リンクを辿りプログラムやゲームをダウンロードするようユーザーに促すものとなっています。

図1. トロイの木馬によって使用されるソフトウェアアイコンの例

起動されると、このトロイの木馬は標準ダイアログボックスを表示させ、管理者権限を要求します。ユーザーが権限を与えてしまうと、トロイの木馬は偽のエラーメッセージを表示させ、自身のアイコンをホーム画面から削除します。こうすることでユーザーに気づかれないよう身を隠し、削除されるのを防ぎます。

図2～3. 管理者権限の要求と偽のエラーメッセージ

今日のAndroid版バンキング型トロイの木馬に比べると、 Flexnet の持つ機能はごく限られたものとなっています。このトロイの木馬はテキストメッセージを横取りし、USSD要求を実行することができますが、これらはさまざまな詐欺手法を使用して金銭を盗むのに十分な機能です。

そのような手法の1つが、SMSを利用して、人気のコンピューターゲームのゲーム内アカウントに入金補充させるというものです。まず、トロイの木馬はユーザーのキャッシュカード残高を確認するために、モバイルバンキングサービスシステムにSMSを送信します。そして、残高の記載された返信メッセージを横取りし、その情報をサイバー犯罪者に送信します。次に、犯罪者はゲームのアカウント残高を補充するようユーザーに要求しますが、その際、ユーザーの電話番号と送金額を提示します。ユーザーが確認コードの含まれたSMSメッセージを受け取ると、トロイの木馬はそれを横取りし、内容をサイバー犯罪者に送信します。そして最後に、その確認コードを送信して送金を確定するよう指示するコマンドが犯罪者からトロイの木馬に送られます。

以下は、この手法を用いてどのように金銭を盗むのかを示した例です。

図4. Wargamingアカウントの残高補充。トロイの木馬は銀行のビリングシステムからのメッセージを横取りし、サイバー犯罪者からのコマンドに従って、2,475ルーブルの送金を確定する確認コードを含んだ返信を送る。

その他の詐欺行為も似たような方法で行われています。たとえば、サイバー犯罪者は被害者のモバイルアカウントのお金をホスティングサービスの支払いに使用することができます。この場合、トロイの木馬は必要なパラメータを含んだSMSメッセージを標的となる電話番号に対して送信します。以下はその例です。

図5. トロイの木馬は、 jino.ru ホスティングサービスに送金金額（299ルーブルと1,000ルーブル）とアカウント名をテキストで送り、サイバー犯罪者の残高を補充。

被害者の口座に十分な残高がない場合でも、犯罪者は携帯電話会社の提供するクレジットによる支払方法を利用して金銭を盗むことが可能です。その場合も、トロイの木馬は必要なパラメータを含んだSMSメッセージを送信します。疑わしいメッセージはすべてトロイの木馬によって隠されてしまうため、感染したデバイスのユーザーはお金を盗まれたことにしばらくの間気が付きません。

図6. 犯罪者はMy.comサービスの支払いを試みるが、被害者のモバイルクレジットの残高が足りない。犯罪者はクレジットによる支払方法を使用して送金を成功させるよう指示するコマンドをトロイの木馬に送信。デバイスのユーザーには借金が残る。

さらに、このトロイの木馬は被害者のキャッシュカードからサイバー犯罪者の口座に送金を行うことができます。ただし、金融機関は特別なアルゴリズムを使用して疑わしい取引を追跡しているため、そのような送金はブロックされる可能性が極めて高いといえます。一方で、前述の手法では、犯罪者は比較的少額の金銭を長期にわたって気づかれずに盗むことが可能です。

Flexnetのもう1つの特徴は機密情報を盗むというものです。サイバー犯罪者はソーシャルメディアやオンラインストア、携帯電話会社のWebサイト、その他のオンラインサービスに登録されているユーザーのアカウントへのアクセスを取得することができます。まず、被害者の携帯電話番号を入手した犯罪者は、そのアカウントへのログインを試みます。次に、サービスから送られてくるワンタイム確認コードをトロイの木馬が横取りし、犯罪者に送信します。

図7. トロイの木馬によって横取りされた、さまざまなサービスのワンタイムアクセスコードを含んだテキスト

感染したデバイスのユーザーの電話番号が、標的となるサービスに登録されていなかった場合でも、サイバー犯罪者は新しいアカウントの登録にそれらの番号を使用することができます。新しく作成された、侵害されたこれらのアカウントは後にブラックマーケットに流れ、スパムの送信やフィッシング攻撃に利用される可能性があります。

ドメイン名レジストラREG.ruの協力により Flexnet のC&Cサーバーのいくつかがブロックされ、現在、サイバー犯罪者は感染したデバイスの一部をコントロールすることができなくなっています。

Androidデバイスのユーザーには、ソフトウェアやゲームはGoogle Playなどの信頼できる提供元からのみインストールするようにすることが推奨されます。他のユーザーによるレビューに気を付けるようにし、信頼できる開発元のソフトウェアのみをインストールするようにしてください。

Dr.Web for Androidは Flexnet のすべての既知の亜種を Android.ZBot ファミリーの一部として検出し、それらをデバイスから削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

#Android, #banking_Trojan, #two_factor_authentication

2019年3月14日

株式会社Doctor Web Pacific

Doctor Webのラボでは、 Counter-Strike（カウンターストライク） 1.6ゲームクライアントの脆弱性を悪用してユーザーのコンピューターに侵入するマルウェア Trojan.Belonard について調査を行いました。このトロイの木馬は、インストールされるとゲームファイルおよび利用可能なゲームサーバーのリストを置き換えます。

Trojan.Belonard は悪意のあるゲームサーバーに接続されると同時にデバイス上にインストールされます。このトロイの木馬はゲームクライアントの脆弱性を悪用し、Steam版と海賊版の両方の Counter-Strike 1.6 （CS 1.6）を感染させることができます。被害者のコンピューター上にインストールされると、クライアントのファイルを置き換え、他のユーザーを感染させるためにプロキシを作成します。通常、このような手法は感染したコンピューターのネットワークを構築する目的で使用され、それによりゲームサーバーを宣伝して収益を得ることが可能になります。

このゲームは長い歴史を持つにもかかわらず未だ多くのファンを持ち、CS 1.6の公式クライアントを使用するオンラインのプレイヤー数は約2万人と推定され、Steamに登録されているゲームサーバーの合計数は5千を超えています。ゲームサーバーの販売、レンタル、宣伝は、今や立派なビジネスとしてみなされ、これらのサービスはさまざまなサイトで購入することができます。多くの場合、サーバーの所有者は自分のサーバーがマルウェアによって宣伝されてしまう可能性があるということに気が付かず、それらのサービスに料金を支払っています。そのような違法な方法が「Belonard」と呼ばれる開発者によって使用されていました。この開発者のサーバーは他のプレイヤーをトロイの木馬に感染させ、それらのアカウント経由で別のサーバーを宣伝していました。

現時点で、 Belonard トロイの木馬によって作成された悪意のあるCS 1.6サーバーの数は、Steam上に登録されているすべての公式サーバーの39%にも上っています。CSコミュニティーは長らくこの問題に直面してきました。しかしながら、これまでアンチウイルスは Belonard トロイの木馬全体ではなく、この脅威の一部のみを特定することしかできませんでした。この度、Dr.Webのアンチウイルス製品により Belonard トロイの木馬のすべてのモジュールが検出されるようになりました。したがって、Dr.Webのユーザーに危害が及ぶことはありません。 Belonard トロイの木馬とその動作についての詳細は、こちらの調査結果をご覧ください。

2019年3月14日

株式会社Doctor Web Pacific

序文

Counter-Strike(カウンターストライク) 1.6は2000年に Valve Corporation によってリリースされたゲームで、長い歴史を持つにもかかわらず未だに多くのファンを抱えています。CS 1.6の公式クライアントを使用するオンラインのプレイヤー数は約2万人に達し、Steamに登録されているゲームサーバーの合計数は5千を超えています。ゲームサーバーの販売、レンタル、宣伝は、今や立派なビジネスとしてみなされ、これらのサービスはさまざまなサイトで購入することができます。例えば、サーバーのランクを1週間上げるには約200ルーブルかかります。これは大した額ではありませんが、多くのバイヤーが利用することで、この戦略は成功したビジネスモデルとなっています。

人気のあるゲームサーバー所有者の多くは、禁止からの保護や武器へのアクセスなどさまざまな特権を売ることでもプレイヤーからお金を集めています。自分で宣伝を行うサーバー所有者もいますが、一方で、請負業者によるサーバー宣伝サービスを購入する所有者もいます。サービスに対して支払いを行った後は、自分のサーバーがどのように宣伝されているかについて気にしないという所有者が多く見られます。ところが、「Belonard」と呼ばれる開発者が違法な方法で宣伝を行っているということが明らかになりました。この開発者のサーバーは他のプレイヤーをトロイの木馬に感染させ、それらのアカウント経由で別のサーバーを宣伝していました。

悪意のあるサーバーの所有者はゲームクライアントの脆弱性と新たに作成したトロイの木馬をそのビジネスの技術基盤として使用しています。このトロイの木馬はプレイヤーのデバイスを感染させ、自身を自動実行させるためのマルウェアをダウンロードし、そしてそれを別のプレイヤーのデバイスに拡散させます。その際、リモートから任意のコードを実行できる RCE (Remote Code Execution) 脆弱性を悪用しますが、この脆弱性は公式ゲームクライアントで2つ、そして海賊版では4つ発見されています。

システム内にインストールされると、 Trojan.Belonard はゲームクライアント内で利用可能なゲームサーバーのリストを置き換え、トロイの木馬を拡散させるために感染したコンピューター上にプロキシを作成します。一般的に、プロキシサーバーはping値が低いため、それらは他のプレイヤーのリストの先頭に表示されます。それらの1つを選択することでプレイヤーは悪意のあるサーバーへリダイレクトされ、そこで Trojan.Belonard に感染します。

このパターンを使用することで、トロイの木馬の開発者はCS 1.6ゲームサーバーの大部分を占めるボットネットを作成することに成功しました。Doctor Webのアナリストは、Steam公式クライアントの利用可能なサーバー5千台のうち、1,951台が Belonard Trojan によって作成されたものであるとしています。これは、ゲームサーバー全体の39%にあたります。この規模のネットワークが、トロイの木馬の開発者が他のサーバーを宣伝することで収益を得て、それらのサーバーを感染したゲームクライアントの利用可能なサーバーのリストに追加することを可能にしています。

Doctor Webでは、CS 1.6について、トロイの木馬が悪意のあるサーバーを介してプレイヤーのデバイスを感染させる可能性があるという似たような事例を過去に報告しています。その事例では、トロイの木馬は悪意のあるファイルをダウンロードするためにユーザーの許可を得る必要がありましたが、今回、トロイの木馬はユーザーに気づかれることなくデバイスに侵入しています。Doctor Webはゲームの脆弱性についてValve社に報告を行いましたが、現時点で、いつ脆弱性が修正されるかについての情報は入ってきていません。

クライアントの感染

Trojan.Belonard は11のコンポーネントで構成され、ゲームクライアントによって異なるさまざまなシナリオで動作します。公式クライアントが使用された場合、トロイの木馬は悪意のあるサーバーによって悪用されたRCE脆弱性を介してデバイスに侵入し、システム内にインストールされます。海賊版クライアントも同じ方法でデバイスを感染させます。ユーザーが、悪意のあるサーバーの所有者のサイトから感染したクライアントをダウンロードしてきた場合、トロイの木馬はゲームの初回起動時にインストールされます。

クライアントの感染プロセスについて詳しく説明します。プレイヤーがSteam公式クライアントを起動し、ゲームサーバーを選択します。悪意のあるサーバーに接続すると、サーバーはRCE脆弱性を悪用して、悪意のあるライブラリの1つをプレイヤーのデバイスにアップロードします。脆弱性の種類に応じて、 client.dll (Trojan.Belonard.1) または Mssv24.asi (Trojan.Belonard.5) の2つのライブラリのうちの1つがダウンロードされ、実行されます。

被害者のデバイスに侵入すると、 Trojan.Belonard.1 はライブラリプロセスファイルと同じディレクトリにある.datファイルをすべて削除します。その後、悪意のあるライブラリはC&Cサーバー (fuztxhus.valve-ms[.]ru:28445) に接続し、 Mp3enc.asi (Trojan.Belonard.2) ファイルをダウンロードするために暗号化されたリクエストを送信します。サーバーはその応答として暗号化されたファイルを返します。

以下の画像は、サーバーからの復号化されたデータパケットのスクリーンショットです。

クライアントへのインストール

公式クライアントまたは海賊版クライアントの感染は Counter-Strike クライアントの特定の機能を利用して行われます。このゲームが起動されると、ゲームのルートフォルダにあるすべてのASIファイルが自動的にダウンロードされます。

トロイの木馬の開発者のサイトからダウンロードされたクライアントはすでに Trojan.Belonard.10 (ファイル名：Mssv36.asi) に感染していますが、システム内へのインストールは、感染していないバージョンのゲームクライアントとは異なる方法で行われます。感染しているクライアントがインストールされた後、 Trojan.Belonard.10 はユーザーのOS内に自身のコンポーネントが存在するかどうかを確認します。存在しなかった場合、本体からコンポーネントをアンパックし、 Trojan.Belonard.5 (ファイル名：Mssv24.asi) をプロセスメモリ内にダウンロードします。他の多くのモジュール同様、 Trojan.Belonard.10 はファイルの作成・変更・アクセス日時を改変し、フォルダのコンテンツが作成日順にソートされた場合でもトロイの木馬のファイルが見つかることのないようにします。

新しいコンポーネントをインストールした後、 Trojan.Belonard.10 はシステムに残り、クライアントのプロテクターとして機能します。他のゲームサーバーから受け取ったリクエスト、ファイル、およびコマンドをフィルタリングし、クライアントに対する変更が試みられた場合はそれに関するデータをトロイの木馬開発者のサーバーに送信します。

Trojan.Belonard.5 は、実行中のプロセスと DllMain 内のモジュールへのパスに関する情報を受け取ります。プロセス名が rundll32.exe ではない場合、次のアクションのために別のスレッドを起動します。実行中のスレッドで、 [HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Layers] '<path to the executable file process>' キーを作成して "RUNASADMIN" 値を割り当て、モジュール名を確認します。モジュール名が "Mssv24.asi" でない場合、自身を "Mssv24.asi" モジュールにコピーし、異なる名前を持ったバージョンを削除して Trojan.Belonard.3 を起動します (ファイル名：Mssv16.asi)。名前が一致した場合は、直ちにトロイの木馬をダウンロードして起動します。

感染していないクライアントへの埋め込みは Trojan.Belonard.2 によって行われます。ダウンロード後、 Trojan.Belonard.2 は DllMain 内で client.dll (Trojan.Belonard.1) がロードされているプロセスの名前を確認します。名前が rundll32.exe でなかった場合は、 [HKCU\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Layers] '<path to the executable file process>’キーを使用してスレッドを作成し、 "RUNASADMIN" 値を割り当てます。その後、ユーザーのデバイスに関するデータを収集し、 DialogGamePage.res ファイルから情報を抽出します。収集したデータは暗号化されたフォーマットでトロイの木馬開発者のサーバーに送信されます。

以下は、収集されたシステムデータの構造です。

応答として、サーバーは Mssv16.asi ファイル (Trojan.Belonard.3) を送信します。新しいモジュールに関するメタ情報は DialogGamePage.res ファイルに保存され、 Trojan.Belonard.5 はユーザーのデバイスから削除されます。

システムへのインストール

システム内に存続するためのプロセスは Trojan.Belonard.3 によって開始されます。デバイスに侵入すると、 Trojan.Belonard.3 は Trojan.Belonard.5 を削除し、実行されているコンテキストでプロセスをチェックします。それが rundll32.exe でない場合、他の2つのトロイの木馬 Trojan.Belonard.7 (ファイル名：WinDHCP.dll) と Trojan.Belonard.6 (ファイル名：davapi.dll) を %WINDIR%\System32\ に保存します。 Trojan.Belonard.5 と異なり、 Trojan.Belonard.7 と Trojan.Belonard.6 は分解された形でトロイの木馬内に保存されます。これら2つのトロイの木馬の本体は、 0xFFFC バイトのブロックに分割されています(最後のブロックはより小さい可能性があります)。ディスクに保存されると、トロイの木馬はブロックを組み立て、作業ファイルを取得します。

トロイの木馬を組み立てると、 Trojan.Belonard.3 は svchost.exe のコンテキストで WinDHCP.dll (Trojan.Belonard.7) を実行するための WinDHCP サービスを作成します。言語設定に応じて、OSはサービスパラメータの設定にロシア語または英語のテキストを使用します。

WinDHCPサービスパラメータ：

• サービス名："Windows DHCP Service"または"Служба Windows DHCP"
• 説明："Windows Dynamic Host Configuration Protocol Service"または"Служба протокола динамической настройки узла Windows"
• ImagePathパラメータは"%SystemRoot%\System32\svchost.exe -k netsvcs"を指定し、ServiceDllはトロイの木馬のライブラリへのパスを指定します。

その後、 Trojan.Belonard.3 は WinDHC Pサービスが実行されているかどうかを定期的にチェックし、実行されていない場合はサービスを再インストールします。

Trojan.Belonard.7 は、自動実行サービスによって感染したデバイスにインストールされた、 ServiceMain エクスポート機能を持つ WinDHCP.dll です。その目的は、キー "HKLM\\SYSTEM\\CurrentControlSet\\Services\\WinDHCP" のレジストリにある "Tag" パラメータを確認することです。値が0に設定されている場合、 Trojan.Belonard.7 は davapi.dll ライブラリ (Trojan.Belonard.6) をロードし、そのエクスポートされた関数を呼び出して、 WinDHCP サービスのステータスを表わす SERVICE_STATUS に引数としてポインタを渡します。その後、1秒待ってから再度 "Tag" パラメータを確認します。値が0ではない場合、 Trojan.Belonard.7 は Trojan.Belonard.6 の古いバージョンである spwinres.dll ライブラリ (Trojan.Belonard.4) をロードします。続けて、 spwinres.dll のエクスポートされた関数を呼び出し、WinDHCP サービスのステータスを表わす SERVICE_STATUS に引数としてポインタを渡します。

トロイの木馬はこれらの動作を1秒ごとに繰り返します。

以下は、Doctor Webのカスタマーから報告された WinDHCP サービスパラメータです。

<RegistryKey Name="WinDHCP" Subkeys="1" Values="11">
<RegistryKey Name="Parameters" Subkeys="0" Values="1">
<RegistryValue Name="ServiceDll" Type="REG_EXPAND_SZ" SizeInBytes="68" Value="%SystemRoot%\system32\WinDHCP.dll" />
</RegistryKey>
<RegistryValue Name="Type" Type="REG_DWORD" Value="32" />
<RegistryValue Name="Start" Type="REG_DWORD" Value="2" />
<RegistryValue Name="ErrorControl" Type="REG_DWORD" Value="0" />
<RegistryValue Name="ImagePath" Type="REG_EXPAND_SZ" SizeInBytes="90" Value="%SystemRoot%\System32\svchost.exe -k netsvcs" />
<RegistryValue Name="DisplayName" Type="REG_SZ" Value="Служба Windows DHCP" />
<RegistryValue Name="ObjectName" Type="REG_SZ" Value="LocalSystem" />
<RegistryValue Name="Description" Type="REG_SZ" Value="Служба протокола динамической настройки узла Windows" />
<RegistryValue Name="Tag" Type="REG_DWORD" Value="0" />
<RegistryValue Name="Data" Type="REG_BINARY" SizeInBytes="32" Value="f0dd5c3aeda155767042fa9f58ade24681af5fbd45d5df9f55a759bd65bc0b7e" />
<RegistryValue Name="Scheme" Type="REG_BINARY" SizeInBytes="16" Value="dcef62f71f8564291226d1628278239e" />
<RegistryValue Name="Info" Type="REG_BINARY" SizeInBytes="32" Value="55926164986c6020c60ad81b887c616db85f191fda743d470f392bb45975dfeb" />
</RegistryKey>

すべての機能が起動する前に、 Trojan.Belonard.6 は WinDHCP サービスレジストリの "Tag" パラメータと "Data" パラメータをチェックします。 "Data" パラメータには、AESキーの生成に使用されるバイトの配列が含まれている必要があります。含まれていない場合、トロイの木馬は openssl ライブラリを使用して32のランダムバイトを生成します。これは、後に暗号化キーの生成に使用されます。その後、 WinDHCP サービスの "Info" および "Scheme" パラメータを読み取ります。 "Scheme" には、AESで暗号化された4つのパラメータが保存され、 "Info" にはインストールされているプログラムのリストの SHA256 ハッシュが保存されます。

このデータを収集した後、 Trojan.Belonard.6 はC&Cサーバーのアドレス (oihcyenw.valve-ms[.]ru) を復号化し、接続を確立しようとします。失敗した場合はDGAを使用して .ru ゾーンにドメインを生成しますが、ドメイン生成コードにエラーがあり、このアルゴリズムではトロイの木馬開発者が望んでいたドメインを作成することができません。

暗号化された情報を送信した後、トロイの木馬はサーバーからの応答を受け取ります。続けて、それを復号化し、転送されたファイルを %WINDIR%\System32\ に保存します。このデータには、トロイの木馬の wmcodecs.dll (Trojan.Belonard.8) と ssdp32.dll (Trojan.Belonard.9) が含まれています。

上記の機能に加え、 Trojan.Belonard.6 はランダムな間隔で次の動作を実行します。

• 実行中の Counter-Strike クライアントを検索する
• Trojan.Belonard.9 を起動させる
• 開発者のサーバーに接続する

実行の間隔はC&Cサーバーで変更することができます。

ペイロードと拡散

Belonardはまた、デバイス上で見つかった新しいゲームクライアントにもインストールされます。これは Trojan.Belonard.8 と Trojan.Belonard.6 によって実行されます。

Trojan.Belonard.8 は、 Counter-Strike 1.6クライアントのファイル名とそれらの SHA256 ハッシュに関するデータが含まれたコンテナを初期化します。 Trojan.Belonard.6 はインストールされているゲームクライアントの検索を開始します。実行中のクライアントが見つかった場合、ファイルのリストとそれらの SHA256 ハッシュを Trojan.Belonard.8 から受け取ったデータと照合します。それらが一致しない場合、 Trojan.Belonard.8 は感染していないクライアントのプロセスを終了し、 hl.exe ファイルをゲームディレクトリにドロップします。このファイルは、ゲームがロードされる際に「Could not load game. Please try again at a later time.(ゲームをロードできません。後でもう一度お試しください。)」というエラーメッセージを表示するためだけのものです。これにより、クライアントのファイルを置き換えるための時間を稼ぐことができます。完了すると、トロイの木馬はhl.exeを作業ファイルに置き換え、ゲームはエラーなしに起動します。

トロイの木馬は以下のクライアントファイルを削除します：

<path>\\valve\\dlls\\*
<path>\\cstrike\\dlls\\*
<path>\\valve\\cl_dlls\\*
<path>\\cstrike\\cl_dlls\\*
<path>\\cstrike\\resource\\*.res
<path>\\valve\\resource\\*.res
<path>\\valve\\motd.txt
<path>\\cstrike\\resource\\gameui_english.txt
<path>\\cstrike\\resource\\icon_steam.tga
<path>\\valve\\resource\\icon_steam.tga
<path>\\cstrike\\resource\\icon_steam_disabled.tga
<path>\\valve\\resource\\icon_steam_disabled.tga
<path>\\cstrike\\sound\\weapons\\fiveseven_reload_clipin_sliderelease.dll
<path>\\cstrike_russian\\sound\\weapons\\fiveseven_reload_clipin_sliderelease.dll
<path>\\cstrike_romanian\\sound\\weapons\\fiveseven_reload_clipin_sliderelease.dll

OSの言語設定に応じて、トロイの木馬は英語またはロシア語のゲームメニューファイルをダウンロードします。

改変されたゲームのクライアントには、 Trojan.Belonard.10 のファイルとトロイの木馬開発者のWebサイトの広告が含まれています。ゲームを開始すると、プレイヤーのニックネームが、感染したゲームクライアントをダウンロードするためのWebサイトのアドレスに変わり、一方で、ゲームメニューには1万1,500人以上のサブスクライバーを持つ VKontakte のCS 1.6コミュニティーへのリンクが表示されます。

このトロイの木馬のペイロードは、ユーザーのデバイス上で偽のゲームサーバーを多数エミュレートするというものです。そのために、トロイの木馬はゲームクライアントに関する情報を開発者のサーバーに送信し、その応答として、偽のサーバーを作成するための暗号化されたパラメータを受け取ります。

Trojan.Belonard.9 はプロキシゲームサーバーを作成し、Steam APIを使用してそれらを登録します。ゲームサーバーのポートは、サーバーによって指定された game_srv_low_port の最小値から順番に付けられます。サーバーはプロトコルエミュレータスレッドの数を決定する fakesrvbatch の値も設定します。エミュレータは Goldsource エンジンのゲームサーバーへの基本的な要求をサポートしています (A2S_INFO、 A2S_PLAYER、 A2A_PING、 "challenge steam/non-steam client"要求の受信、および Counter-Strike クライアントの "connect" コマンド)。 "connect" コマンドに応答した後、トロイの木馬はクライアントからの1番目のパケットと2番目のパケットを追跡します。

パケットのやり取りを行った後、トロイの木馬は DRC_CMD_STUFFTEXT タイプのメッセージと共に最後のパケット svc_director を送信します。これにより、 Counter-Strike クライアントの任意のコマンドを実行することが可能になります。この問題は2014年よりValve社の知るところとなっていますが、未だ修正されていません。こうして、ゲームプロキシサーバーに接続しようとしたプレイヤーは悪意のあるサーバーにリダイレクトされます。その後、このトロイの木馬の開発者はユーザーの使用するゲームクライアントの脆弱性を悪用して Trojan.Belonard をインストールすることができます。

Trojan.Belonard.9 にはバグが含まれており、そのバグが、このトロイの木馬によって作成された偽のゲームサーバーの検出を可能にしているいうことは注目に値します。また、これらのサーバーの中には名前で特定できるものもあります。 "Game" 列で、偽のサーバーには "Counter-Strike n" (nは1～3の数字です)という文字列が含まれています。

暗号化

Belonard は暗号化を使用してトロイの木馬にデータを保存し、サーバーと通信します。保存されるのは暗号化されたC&Cサーバーの名前、およびコード行とライブラリ名です。これには、個々のモジュールに対して異なる定数を持つ1つの暗号化アルゴリズムが使用されます。このトロイの木馬の古いバージョンでは、コード行を暗号化するために別のアルゴリズムが使用されていました。

Trojan.Belonard.2 の復号化アルゴリズム：

def decrypt(d):
  s = ''
  c = ord(d[0])
  for i in range(len(d)-1):
    c = (ord(d[i+1]) + 0xe2*c - 0x2f*ord(d[i]) - 0x58) & 0xff
  s += chr(c)
  return s


古いバージョンの復号化アルゴリズム：

def decrypt(data):
  s = 'f'
  for i in range(0,len(data)-1):
    s += chr((ord(s[i]) + ord(data[i]))&0xff)
  print s

Belonard は、より高度な暗号化を使用してC&Cサーバーとデータを交換します。サーバーに送信される前に、情報はモジュールごとに異なる構造に変換されます。収集されたデータは、マルウェア内に保存されている公開鍵を使用してRSAで暗号化されます。ただし、RSA暗号化が使用されるのはデータの最初の342バイトのみであるということに注意する必要があります。モジュールが342バイトを超えるデータのパケットを送信した場合、最初の342バイトのみがRSAで暗号化され、残りのデータはAESで暗号化されます。AESキーのデータはRSAキーで暗号化された部分に格納されています。そこには、C&Cサーバーがその応答を暗号化するために使用するAESキーの生成に必要なデータも格納されています。

パケットの先頭にゼロバイトが追加された後、データがC&Cサーバーに送信されます。サーバーは応答として、AESキーの検証に必要な、ペイロードのサイズとそのSHA256ハッシュに関する情報をヘッダーに含む暗号化されたパケットを送信します。

以下は、サーバーからの応答の例です。

#pragma pack(push,1)
struct st_payload
{
_BYTE hash1[32];
_DWORD totalsize;
_BYTE hash2[32];
_DWORD dword44;
_DWORD dword48;
_DWORD dword4c;
_WORD word50;
char payload_name[];
_BYTE payload_sha256[32];
_DWORD payload_size;
_BYTE payload_data[payload_size];
}
#pragma pack(pop)


復号化は、128ビットのブロックと先にサーバーに送信されたキーで、AES CFBモードで実行されます。ヘッダーの実際のペイロードを示す最後のDWORD値を含めて、データの最初の36バイトがまず初めに復号化されます。DWORD値はAESキーに追加され、SHA256を使用してハッシュされます。その結果のハッシュは復号化された最初の32のバイトと一致する必要があります。その後、受信したデータの残りの部分が復号化されます。

ボットネットのシャットダウン

Doctor Webでは、Belonard トロイの木馬を駆除し、ボットネットの拡大を阻止するべく必要なあらゆる措置を講じました。ドメイン名レジストラ REG.ru の協力により、マルウェア開発者によって使用されていたドメイン名の委任が停止されました。偽のゲームサーバーから悪意のあるサーバーへのリダイレクトはドメイン名を介して行われていたため、今後、CS 1.6プレイヤーが悪意のあるサーバーに接続して Belonard トロイの木馬に感染してしまうということはありません。これにより、マルウェアのほとんどすべてのコンポーネントの動作が中断されました。

Dr.Webのウイルスデータベースには Belonard のすべてのコンポーネントを検出するためのエントリが追加され、DGAに切り替えたモジュールについては監視が行われています。必要なすべての措置が取られた後、シンクホールサーバーには127の感染したゲームクライアントが登録されています。また、Doctor Webのテレメトリデータによると、Dr.Web のアンチウイルスによって、1004台のユーザーのデバイス上で Trojan.Belonard のモジュールが検出されています。

現時点では、ボットネットは無力化されたと考えることができます。しかしながら、 Counter-Strike ゲームクライアントの安全性を確保するためには、存在する脆弱性を解決する必要があります。

脅威存在痕跡 (Indicators of Compromise：IOC)

SHA-1ハッシュ

8bbc0ebc85648bafdba19369dff39dfbd88bc297 - Backdoored Counter-Strike 1.6 client
200f80df85b7c9b47809b83a4a2f2459cae0dd01 - Backdoored Counter-Strike 1.6 client
8579e4efe29cb999aaedad9122e2c10a50154afb - Backdoored Counter-Strike 1.6 client
ce9f0450dafda6c48580970b7f4e8aea23a7512a - client.dll - Trojan.Belonard.1
75ec1a47404193c1a6a0b1fb61a414b7a2269d08 - Mp3enc.asi - Trojan.Belonard.2
4bdb31d4d410fbbc56bd8dd3308e20a05a5fce45 - Mp3enc.asi - Trojan.Belonard.2
a0ea9b06f4cb548b7b2ea88713bd4316c5e89f32 - Mssv36.asi - Trojan.Belonard.10
e6f2f408c8d90cd9ed9446b65f4b74f945ead41b - FileSystem.asi - Trojan.Belonard.11
15879cfa3e5e4463ef15df477ba1717015652497 - Mssv24.asi - Trojan.Belonard.5
4b4da2c0a992d5f7884df6ea9cc0094976c1b4b3 - Mssv24.asi - Trojan.Belonard.5
6813cca586ea1c26cd7e7310985b4b570b920803 - Mssv24.asi - Trojan.Belonard.5
6b03e0dd379965ba76b1c3d2c0a97465329364f2 - Mssv16.asi - Trojan.Belonard.3
2bf76c89467cb7c1b8c0a655609c038ae99368e9 - Mssv16.asi - Trojan.Belonard.3
d37b21fe222237e57bc589542de420fbdaa45804 - Mssv16.asi - Trojan.Belonard.3
72a311bcca1611cf8f5d4d9b4650bc8fead263f1 - Mssv16.asi - Trojan.Belonard.3
73ba54f9272468fbec8b1d0920b3284a197b3915 - davapi.dll - Trojan.Belonard.6
d6f2a7f09d406b4f239efb2d9334551f16b4de16 - davapi.dll - Trojan.Belonard.6
a77d43993ba690fda5c35ebe4ea2770e749de373 - spwinres.dll - Trojan.Belonard.4
8165872f1dbbb04a2eedf7818e16d8e40c17ce5e - WinDHCP.dll - Trojan.Belonard.7
027340983694446b0312abcac72585470bf362da - WinDHCP.dll - Trojan.Belonard.7
93fe587a5a60a380d9a2d5f335d3e17a86c2c0d8 - wmcodecs.dll - Trojan.Belonard.8
89dfc713cdfd4a8cd958f5f744ca7c6af219e4a4 - wmcodecs.dll - Trojan.Belonard.8
2420d5ad17b21bedd55309b6d7ff9e30be1a2de1 - ssdp32.dll - Trojan.Belonard.9


ファイル名

client.dll - Trojan.Belonard.1
Mp3enc.asi - Trojan.Belonard.2
Mssv16.asi - Trojan.Belonard.3
spwinres.dll - Trojan.Belonard.4
Mssv24.asi - Trojan.Belonard.5
davapi.dll - Trojan.Belonard.6
WinDHCP.dll - Trojan.Belonard.7
wmcodecs.dll - Trojan.Belonard.8
ssdp32.dll - Trojan.Belonard.9
Mssv36.asi - Trojan.Belonard.10
FileSystem.asi - Trojan.Belonard.11


ドメイン名

csgoogle.ru
etmpyuuo.csgoogle.ru
jgutdnqn.csgoogle.ru
hl.csgoogle.ru
half-life.su
play.half-life.su
valve-ms.ru
bmeadaut.valve-ms.ru
fuztxhus.valve-ms.ru
ixtzhunk.valve-ms.ru
oihcyenw.valve-ms.ru
suysfvtm.valve-ms.ru
wcnclfbi.valve-ms.ru
reborn.valve-ms.ru


IPアドレス

37.143.12.3
46.254.17.165

2019年3月12日

株式会社Doctor Web Pacific

Dr. Webの統計によると、2月には1月と比較してユニークな脅威の数は9.73％減少しています。2月のマルウェアアクティビティは2018年12月のそれをわずかに上回る程度でしたが、いくつかの脅威については明らかな活発化がみられます。例えば、1月に活動が活発化した JS.Miner.28 はその後も増加を続け、その数はついに JS.Miner.11 を超えました。同時に、 Trojan.Starter.7394 は1月とくらべて 14.29% 増加し、一方で、 Trojan.DownLoader26.28109 の数には3倍の減少がみられます。また、Dr.Webの非推奨サイトのデータベースに追加されたURLの数は 1.68% 減少しました。テクニカルサポートの統計によると、ランサムウェアの被害に遭ったユーザーから提出されたアプリケーションの数も減少しています。

Doctor Web統計サーバーによる統計

2月の脅威：

Adware.Softobase.12

古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。

Adware.Ubar.13

ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。

Trojan.Starter.7394

被害者のデバイス上で別の悪意のあるソフトウェアを実行するよう設計されたトロイの木馬です。

Adware.Downware.19283

通常、海賊版ソフトウェアのインストーラとして拡散されているアドウェアの一種です。インストールされるとブラウザの設定を変更し、さらに、ユーザーの許可なしに別のソフトウェアをインストールする場合もあります。

Trojan.MulDrop8.60634

システムにマルウェアをインストールします。通常、インストールに必要なコンポーネントはすべて MulDrop 自体の中に格納されています。

数に減少が認められた脅威：

Trojan.Encoder.11432

WannaCryとしても知られる悪名高いランサムウェアです。ユーザーのデータを暗号化することでそこへのアクセスをブロックし、それらデータを復号化するための身代金を要求します。

Trojan.DownLoader26.28109

ユーザーの許可なしに悪意のあるソフトウェアをダウンロードして実行します。

メールトラフィック内で検出された脅威の統計

JS.DownLoader.1225

コンピューター上に別のマルウェアをダウンロードしてインストールするよう設計された、 JavaScript で書かれた様々な悪意のあるコードです。

W97M.DownLoader.2938

Officeアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたシステムに別の悪意のあるプログラムをダウンロードするよう設計されています。

Exploit.ShellCode.69

CVE-2017-11882 と呼ばれる脆弱性を悪用する、また別の悪意のある Microsoft Office Word ドキュメントです。

Exploit.Rtf.CVE2012-0158

改変された Microsoft Office ドキュメントで、悪意のあるコードを実行するために脆弱性 CVE2012-0158 を悪用します。

JS.Miner.28

「CryptoLoot」と呼ばれる JavaScript マイナーです。ユーザーの許可なしにブラウザで仮想通貨 Monero をマイニングすることを目的としています。しばしば CoinHive マイナーの代わりに使用されます。

Trojan.PWS.Stealer.23680

感染したコンピューターに保存されているパスワードやその他の機密情報を盗むように設計されたトロイの木馬のファミリーです。

暗号化ランサムウェア

2019年2月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした：

• Trojan.Encoder.858 – リクエストの31.39%
• Trojan.Encoder.18000 - リクエストの10.18%
• Trojan.Encoder.11464 - リクエストの4.67%
• Trojan.Encoder.11539 - リクエストの4.67%
• Trojan.Encoder.567 - リクエストの2.34%
• Trojan.Encoder.25814 - リクエストの2.34%

危険なWebサイト

2019年2月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は 288,159 件となっています。

モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム

2月には、Android OSを標的とする悪意のあるプログラムや不要なプログラムが多数、Doctor Webのアナリストによって発見されました。また、 Android.HiddenAds ファミリーに属するトロイの木馬を拡散させるための広告キャンペーンも確認されています。広告はYouTubeとインスタグラムに掲載され、動画や写真を編集するためのアプリケーションをダウンロードするようユーザーを誘うものでしたが、このアプリケーションにマルウェアが含まれているということが明らかになりました。

2月には Android.FakeApp ファミリーに属するマルウェアの新たな亜種がデータベースに追加されました。これらトロイの木馬は、多額の報酬を受け取ることができる調査に参加するよう促すサイトを開きます。報酬を受け取るために、ユーザーは手数料を払うか、または身元を確認するためのテスト送金を行うよう指示されます。ユーザーが同意すると犯罪者にお金が振り込まれ、その後ユーザーが報酬を受け取ることはありません。

そのほか、リモートコードを実行することで別のマルウェアをダウンロードする危険なトロイの木馬 Android.RemoteCode.2958 も拡散されました。感染させたデバイスをプロキシサーバーに変える Android.Proxy.4 も発見されています。 Adware.Sharf.2 および Adware.Patacore と呼ばれるアドウェアファミリーの新たな亜種もDr.Webのウイルスデータベースに追加されました。

2月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• Google Playから拡散される悪意のあるプログラム.

モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。

2019年3月11日

株式会社Doctor Web Pacific

2019年の冬最後の月はAndroidデバイスユーザーにとって平穏なものとはなりませんでした。2月中旬、Doctor Webのスペシャリストによって、 Android.HiddenAds ファミリーに属する約40のトロイの木馬がGoogle Play上で発見されました。これらトロイの木馬は人気のソーシャルメディアやオンラインサービス内に表示される広告を介して拡散されていました。また、Android搭載スマートフォンやタブレットのユーザーは、詐欺スキームに使用されるトロイの木馬 Android.FakeApp、ダウローダ型トロイの木馬、およびその他の悪意のあるアプリケーションや不要なアプリケーションの標的となりました。

2月のモバイル脅威

2月、Doctor WebのマルウェアアナリストはGoogle Play上で Android.HiddenAds ファミリーに属する39のトロイの木馬を発見しました。犯罪者は、数百万のユーザーが利用するYouTubeやWhatsAppなどの人気の高いオンラインサービス上でこのトロイの木馬を積極的に宣伝していました。高性能な写真や動画の編集ツールとして宣伝されていますが、実際にユーザーのスマートフォンやタブレット上にインストールされるのは編集ツールとしてのわずかな機能のみを持ったトロイの木馬です。およそ1千万人のユーザーが被害に遭っています。

このトロイの木馬は他のプログラムやシステムインターフェースの前面に絶えず広告を表示させることで、ユーザーが感染したデバイスを操作することを困難にします。

この脅威の詳細については、こちらの記事をご覧ください。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

Android.Backdoor.2080

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.RemoteCode.197.origin

任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。

Android.HiddenAds.261.origin

Android.HiddenAds.659

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Adware.Zeus.1

Adware.Patacore.1.origin

Adware.Patacore.168

Adware.Jiubang.2

Android.Toofan.1.origin

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

Google Play上の脅威

Google Play上ではトロイの木馬 Android.HiddenAds のほかに、 Android.FakeApp ファミリーに属する新たなトロイの木馬 Android.FakeApp.155、 Android.FakeApp.154、 Android.FakeApp.158 などを含む他のマルウェアも発見されています。これらトロイの木馬は詐欺に使用されていました。ユーザーは多額の報酬を受け取ることのできるオンライン調査に参加するためにアプリケーションをインストールするよう促されます。トロイの木馬はそれら「調査」のWebサイトを開き、そこでいくつかの簡単な質問に回答したユーザーは確認のための支払いを行うよう要求されます。その際、送金先は調査参加者ということになっています。ユーザーが支払いに同意した後、報酬を受け取ることはありません。

Androidユーザーはまた、さらに別のマルウェアをダウンロードするトロイの木馬 Android.RemoteCode.2958 による攻撃も受けました。このトロイの木馬は無害なゲームやアプリケーションを装って拡散され、インターネットから任意のコードをダウンロードします。

Android.Proxy.4 と名付けられたまた別のトロイの木馬は、サイバー犯罪者のネットワークトラフィックをリダイレクトさせるために、感染させたデバイスをプロキシサーバーとして利用するというものでした。他のマルウェア同様、このトロイの木馬も一見無害で便利なアプリケーションに隠されていました。

そのほか、Dr.Webのウイルスデータベースには、組み込まれた不要なモジュールである Adware.Sharf.2 が追加されました。このモジュールはソフトウェアウィンドウやシステムインターフェースの前面に広告を表示させます。 Adware.Sharf.2 はボイスレコーダー、GPSコンパス、QRコードスキャナーなどの様々なプログラム内で発見されています。

いくつかのゲームにも不要な広告モジュールが含まれていることが明らかになり、これらはDr.Webの分類により Adware.Patacore.2 および Adware.Patacore.168 と名付けられました。これらのモジュールもまた、迷惑なバナーを表示させます。

ますます多くの悪意のあるアプリケーションや不要なアプリケーションがGoogle Play上で検出されるようになっています。Androidを搭載するモバイルデバイスのユーザーは良く知られた信頼できる開発元からのアプリケーションのみをインストールし、他のユーザーによるレビューに気を付けるようにしてください。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。

2019年2月4日

株式会社Doctor Web Pacific

2019年1月、多くのマルウェアがAndroidデバイスを攻撃しました。1月上旬にはサイバースパイ行為を行うために設計されたトロイの木馬 Android.Spy.525.origin についてDoctor Webのウイルスアナリストによる調査が行われ、その後、複数のアドウェア型トロイの木馬が発見され、 Android.HiddenAds.361.origin および Android.HiddenAds.356.origin と名付けられました。また、ブックメーカーの公式アプリケーションを装って拡散される Android.Click ファミリーに属する新たなクリッカーが複数検出されたほか、スマートフォンやタブレット上にAndroidバンカーをダウンロードする Android.DownLoader ファミリーに属するダウンローダ型トロイの木馬も拡散されています。

1月のモバイル脅威

1月上旬、スパイウェア Android.Spy.525.origin がDr.Webのウイルスデータベースに追加されました。このスパイウェアは便利なアプリケーションを装ってGoogle Playから拡散されていたほか、訪問者をポピュラーなファイル共有リソース MediaFire にリダイレクトする悪質なWebサイトからも拡散されていました。 MediaFire にはトロイの木馬のコピーが置かれています。

Android.Spy.525.origin はC&Cサーバーからのコマンドに従って感染したスマートフォンやタブレットの位置情報を追跡し、テキストメッセージの履歴を盗み、通話に関する情報や電話帳のデータ、デバイスに保存されたファイルを取得し、フィッシングウィンドウを表示させることができます。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.RemoteCode.197.origin

任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。

Android.HiddenAds.261.origin

Android.HiddenAds.659

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.Mobifun.4

様々なアプリケーションをダウンロードするトロイの木馬です。

Adware.Zeus.1

Adware.AdPush.29.origin

Adware.Patacore.1.origin

Adware.Patacore.168

Adware.Jiubang.2

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

Google Play上の脅威

1月には Android.Spy.525.origin の他にもGoogle Play上で脅威が発見されています。初旬には Android.HiddenAds.361.origin と Android.HiddenAds.356.origin がウイルスデータベースに追加されました。これら悪意のあるプログラムは2018年12月の記事で紹介した Android.HiddenAds.343.origin の亜種で、便利なプログラムを装って拡散されていました。起動されると、自身のアイコンを隠し、広告を表示させます。

そのほか、Doctor Webのマルウェアアナリストは様々なダウンローダについて調査を行いました。 Android.DownLoader.4063、 Android.DownLoader.855.origin、 Android.DownLoader.857.origin、 Android.DownLoader.4102、 Android.DownLoader.4107 と名付けられたそれらトロイの木馬は、通貨コンバータや公式バンキングアプリケーションなどの便利なプログラムを装って拡散されていました。これらのトロイの木馬は、金融機関の口座から機密情報と金銭を盗むよう設計されたAndroidバンカーをモバイルデバイス上にダウンロードし、インストールしようと試みます。

そのようなバンキング型トロイの木馬の1つ Android.BankBot.509.origin は、2018年12月に報告した Android.BankBot.495.origin の亜種です。このバンカーはアクセシビリティサービスを使用してボタンやメニュー項目を自動的にタップすることで、インストールされているアプリケーションを密かに操作しようとします。 Android.BankBot.508.origin と名付けられたまた別のトロイの木馬はフィッシングウィンドウを表示させ、ユーザーの認証情報やその他の個人情報を盗もうとします。また、取引に必要な確認コードを含んだテキストメッセージを横取りします。

1月下旬、Doctor Webのエキスパートは Android.Click.651、 Android.Click.664、 Android.Click.665、 Android.Click.670を含む、 Android.Click ファミリーに属する新たなクリッカー型トロイの木馬を発見しました。ブックメーカーの公式アプリケーションを装って拡散されるこれらトロイの木馬は、C&Cサーバーからのコマンドに従って任意のWebサイトをロードすることが可能であることから、深刻な脅威となっています。

Doctor Webのスペシャリストはモバイルデバイスを狙ったウイルスの状況について監視を続け、悪意のあるプログラムや不要なプログラムを検出・削除するためにDr.Webウイルスデータベースを即時にアップデートしています。したがって、Dr.Web for Androidによって保護されているスマートフォンやタブレットに危害が及ぶことはありません。

2019年1月24日

株式会社Doctor Web Pacific

ダウンローダ型トロイの木馬は、被害者のデバイスに別のマルウェアをアップロードするために使用されます。 Trojan.DownLoad4.11892 も例外ではありません。インストールされると、悪意のあるソフトウェアをダウンロードし、仮想通貨の保有者から個人データを盗みます。

2018年秋、仮想通貨のマイニングに励む人たちは、仮想通貨の価格を監視するためのツールをインストールするよう提案するメッセージに気が付き始めました。開発者は、このアプリは認定された信頼できる無料のウィジェットであると主張しています。一見したところ、このプログラムには疑わしいところはありません。有効なデジタル署名を持ち、約束された機能を実行します。しかしながら、この一見問題のない動作の裏には罠があります。このプログラムは個人データを盗むのです。

インストールされると、プログラムは開発者の個人用 Github アカウントからダウンロードした悪意のあるコードをコンパイルして実行します。それが完了すると、マルウェア開発者の間で AZORult としても知られる Trojan.PWS.Stealer.24943 を被害者のデバイスにアップロードします。このトロイの木馬は、サイバー犯罪者が大量の個人データ (仮想通貨ウォレットのパスワードを含む) を盗むことを可能にします。

Doctor Webのリサチャーによって発見されたほとんどのケースでは、このマルウェアは仮想通貨のマイニングに特化したフォーラムで英語で拡散されていました。同じく仮想通貨のマイニングに特化したポーランドやロシアのフォーラムからの拡散はそれほど多くありませんでした。

現時点で、このトロイの木馬は複数のファイル共有サービスや前述の Github アカウント上で入手可能な状態となっています。Dr.Web製品はこの種類のマルウェアを検出・削除することができます。ただし、お使いのアンチウイルスのライセンスをタイムリーに更新し、最新のアップデートをすべてインストールすることが推奨されます。

Trojan.DownLoad4.11892の詳細 (英語)

#cryptocurrency #mining #Trojan

2019年1月17日

株式会社Doctor Web Pacific

2018年には、密かに仮想通貨をマイニングするトロイの木馬が拡散され、Microsoft Windowsユーザーのみでなく様々なLinuxデバイスのユーザーも悪意のあるソフトウェアの標的となりました。感染させたコンピューター上でファイルを暗号化し、復元させるための身代金を要求するエンコーダ―も未だ勢いを失ってはいません。2月と4月には、そのようなトロイの木馬のファミリーに属する2つの新たな亜種がDoctor Webのエキスパートによって発見されました。そのうちの1つは、ウイルス作成者の主張に反して、身代金を支払った後もファイルを復元することができませんでした。

2018年3月下旬、Doctor WebはYouTubeから拡散されている Trojan.PWS.Stealer.23012 について調査を行いました。このトロイの木馬はPythonで書かれており、感染したデバイスからファイルやその他の機密情報を盗みます。調査の結果、このマルウェアとその複数の亜種について作成者を特定することができました。また別の調査では、 Trojan.PWS.Steam.13604 を使用してゲームプラットフォーム「Steam」から機密情報を盗んでいた犯罪者が特定されました。 Trojan.PWS.Steam.13604 は、この目的に特化して作成されています。10月には、インターネットユーザーから何万ドルもの金銭を騙し取ったオンライン仮想通貨詐欺の活動について徹底的な調査が行われました。

2018年を通して、サイバー犯罪者はユーザーを偽のWebサイトに誘い込み、迷惑メールを送信していました。2018年の初めには、ユーザーのログインとパスワードを取得しようと試みる Mail.Ru グループからのものを装ったメールが送信され、春には、報酬を提供するとする偽のメールが送信されるようになり、そして夏には、所有するドメイン名の登録を更新するための料金を支払うよう要求する、ホスティングプロバイダ RU-CENTER からのものを装ったメールがドメイン管理者を襲いました。

2018年、Androidモバイルデバイスのユーザーもウイルス作成者の標的となりました。1月には、ダウンロード数450万を超える感染したゲームがGoogle Play上で発見され、その後間もなくして、テレビやストリーミングボックス、ルーター、その他のIoTデバイスなど、スマートデバイスの8%を感染させることのできる、Android向けのマイニングソフトウェアが発見されました。

2018年を通して、マルウェアアナリストは幅広い機能を備えたAndroid向けバンキング型トロイの木馬の拡散についてユーザーに対して注意喚起を行っています。また、ポピュラーなAndroidアプリケーションを装った複数の偽のアプリがフィッシングに使用されているということも明らかになりました。モバイルデバイスを標的とするトロイの木馬の中には、ユーザーを有料サービスに登録させるものや、見えない広告を通じて収益を得るものがあり、さらに、感染したデバイス上に他のマルウェアをダウンロードするものも発見されています。

2018年の最も注目すべきイベント

2018年2月、新たなトロイの木馬エンコーダが発見され、 Trojan.Encoder.24384 としてDr.Webのウイルスデータベースに追加されました。このマルウェアは感染したデバイス上で実行中のアンチウイルスに関する情報を収集し、サイバー犯罪者の用意したリストに従って実行中のプログラムを終了させることができます。 Trojan.Encoder.24384 は、いくつかのサービスフォルダやシステムフォルダを除いて、ハードドライブやリムーバブルメディア、ネットワークドライブ上のファイルを暗号化します。

Trojan.Encoder.25129 と呼ばれるまた別のエンコーダはデバイスのIPアドレスに基づいてユーザーの所在地を確認します。このトロイの木馬は、デバイスがロシア、ベラルーシ、カザフスタンにある場合、またはシステムの言語や地域の設定でロシア語やロシアが設定されている場合にはファイルを暗号化しないよう設計されています。しかしながら、コードのエラーにより、このエンコーダーはIPアドレスの所在地に関係なくすべてのファイルを暗号化します。悪意のある動作を完了すると、トロイの木馬は身代金を要求するウィンドウを表示させます。

残念ながら、このトロイの木馬のコードに含まれるエラーは1つだけではありませんでした。そのエラーが原因となり、暗号化されたファイルを復元することができないということが、やがて明らかになりました。これにより、重要なファイルをタイムリーにバックアップすることの重要性が改めて強調される形となりました。

3月下旬、Pythonで書かれ、機密情報を盗む目的で設計されたスパイウェア Trojan.PWS.Stealer.23012 についてDoctor Webのアナリストによる調査が行われました。このマルウェアと、その複数の亜種は、YouTube動画のコメント内にあるリンクから拡散されていました。それら動画の多くは、特別なアプリケーションを使用した、ゲームでのチーティング方法 (いわゆる「チート行為」) に焦点を当てたもので、Twitter上で積極的に宣伝されています。

1カ月半の後、Doctor Webのエキスパートはこれらトロイの木馬の作成者を特定することに成功しました。このマルウェアとその亜種は、Chromeブラウザに保存されたパスワードとCookieを盗むほか、 Telegram、 FileZilla FTPクライアントから情報を盗み、事前に指定されたリストに従って画像やOffice文書をコピーします。亜種の1つは、様々なTelegramチャンネルで広く宣伝されていました。盗んだファイルのアーカイブをアップロードするクラウドストレージのログインとパスワードがトロイの木馬に組み込まれていたことが、Doctor Webのウイルスアナリストによるマルウェアの作成者とそのすべてのクライアントの特定に繋がりました。

5月下旬には、ゲームプラットフォーム「Steam」のユーザーから個人情報を盗むスパイウェアの作成者に関するまた別の調査が行われました。この犯罪者は、ボットが勝つようになっている詐欺ルーレット(プレイヤーが様々なゲームアイテムを売ることのできるオークション)やマルウェアの貸出など、収益を得るための複数の手法を用いていました。トロイの木馬の拡散には、ソーシャルエンジニアリングや偽のWebサイトが使用されていました。

スパイウェア Trojan.PWS.Steam.13604 と Trojan.PWS.Steam.15278 の動作原理、およびそれらの作成者に関する詳細については、 こちらの記事をご覧ください。

夏には、悪名高いエンコーダ Trojan.Encoder.12544 (別名Petya、 Petya.A、 ExPetya、 WannaCry-2) と同じ手法を用いて拡散される新たなマイナー Trojan.BtcMine.2869 についてDoctor Webのアナリストによる警告が発表されました。このトロイの木馬は、コンピュータークラブやインターネットカフェを自動化するためのソフトウェアの更新メカニズムを利用してユーザーのコンピューターを感染させていました。2018年5月24日から7月4日の間に2,700台を超えるコンピューターがこのマイナーに感染しています。

9月、Doctor Webのスペシャリストは、Adobe Readerを装って拡散され、ブラジルの金融機関利用者を標的とするバンキング型トロイの木馬 Trojan.PWS.Banker1.28321 を発見しました。

ユーザーがブラジルの様々な金融機関のインターネットバンキングサイトをブラウザのウィンドウで開くと、 Trojan.PWS.Banker1.28321 は密かにWebページを置き換え、偽の認証フォームを表示させます。銀行から受け取ったSMSメッセージに含まれる認証コードを入力するよう要求する場合もあります。入力された情報はサイバー犯罪者に送信されます。Doctor Webのスペシャリストは Trojan.PWS.Banker1.28321 の340を超えるインスタンスを特定し、サイバー犯罪者のインターネットリソースの129のドメインとIPアドレスを発見しました。この脅威に関する詳細については、こちらの記事をご覧ください。

10月中旬には、仮想通貨を狙ったサイバー犯罪者の活動について調査が行われました。犯罪者はEredel、 AZORult、 Kpot、 Kratos、 N0F1L3、 ACRUX、 Predator The Thief、 Arkei、 Ponyなどの幅広いマルウェアを使用し、目的を達成するために本物のインターネットリソースを模倣するフィッシングサイトを複数作成していました。それらサイトの中には偽の仮想通貨取引所や、低価格でレンタルされる存在しない Dogecoin のマイニングプール、Webサイトを見ることで報酬を受け取ることができるというパートナープログラムがあります。

その他のプロジェクトに、 Dogecoin で賞金をもらえるオンライン宝くじがあります。もちろん、参加者が宝くじに当たることはなく、主催者のみが収益を得ることができるようになっています。また、従来のフィッシング手法や広告を含んだWebページを見ることで Dogecoin での報酬を受け取ることができるというアフィリエイトプログラムなどのイニシアチブもあります。ユーザーはクライアントをダウンロードするよう促されますが、実際には、このクライアントがトロイの木馬です。このオンライン詐欺に関する詳細についてはこちらの記事をご覧ください。

11月には、Webサイトのトラフィックを増加させるためのマルウェア Trojan.Click3.27430 が検出されました。このトロイの木馬は、固定IPアドレスを持たないコンピューターにサブドメインを結びつけることを可能にする DynDNS ソフトウェアを装っていました。

Doctor Webの収集したデータによると、2013年に最初の感染が発生してから現在までに約1,400人のユーザーがこのトロイの木馬に感染しています。この脅威に関する詳細についてはこちらの記事をご覧ください。

ウイルスに関する状況

Doctor Web統計サーバーによって収集されたデータによると、2018年には、Webページ内に第三者のコンテンツを埋め込み、仮想通貨をマイニングする悪意のある JavaScript が多く確認されています。また、スパイウェア型トロイの木馬や悪意のあるダウンローダも検出されています。

JS.Inject

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。

JS.BtcMine

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.SpyBot.699

マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者が様々なアプリケーションをダウンロード・起動し、コマンドを実行することを可能にします。銀行口座から金銭を盗む目的で設計されています。

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

Trojan.Starter.7394

感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。

Trojan.Encoder.567

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬です。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

VBS.BtcMine

仮想通貨を密かにマイニングするよう設計されたVBSスクリプトのファミリーです。

メールトラフィックの分析結果でも同様の状況が確認されています。ただし、全体として、メールの添付ファイル内ではスパイウェア型トロイの木馬がより多く検出されています。

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

JS.Inject

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、WebページのHTMLコードに悪意のあるスクリプトを挿入します。

JS.BtcMine

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.SpyBot.699

マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者が様々なアプリケーションをダウンロード・起動し、コマンドを実行することを可能にします。銀行口座から金銭を盗む目的で設計されています。

Trojan.Encoder.567

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬です。

Trojan.DownLoader

感染させたコンピューター上に別の悪意のあるプログラムをダウンロードするよう設計されたトロイの木馬ファミリーです。

Trojan.PWS.Stealer

感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

暗号化トロイの木馬

2017年と比較して、2018年には暗号化ランサムウェアに感染したユーザーからDoctor Webのテクニカルサポートに寄せられたリクエストの数に減少が見られました。その数は5月から8月にかけてわずかに増加し、最も問い合わせの少なかった月は1月、最も多かった月は11月となっています。

統計によると、ユーザーのデバイス上で最も多く検出されたのは Trojan.Encoder.858 で、続けて Trojan.Encoder.11464、 Trojan.Encoder.567 となっています。

2018年に最も多く検出されたランサムウェアプログラム：

• Trojan.Encoder.858 — リクエストの19.83%
• Trojan.Encoder.11464 — リクエストの9.64%
• Trojan.Encoder.567 — リクエストの5.08%
• Trojan.Encoder.11539 — リクエストの4.79%
• Trojan.Encoder.25574 — リクエストの4.46%

Linuxを標的とするマルウェア

2018年には、Linuxを標的とする悪意のあるプログラムの多くがマイナーとして登場しました。Linuxサーバーに対するこのような攻撃がDoctor Webのウイルスアナリストによって最初に確認されたのは2018年5月初めのことでした。サイバー犯罪者は、ブルートフォース攻撃でログインとパスワードを探し当て、SSHプロトコル経由でサーバーに接続していました。サーバーでの認証に成功した後、サイバー犯罪者はファイアウォールの動作を管理する iptables ユーティリティを無効にし、続けてサーバー上にマイニングユーティリティとその設定ファイルをダウンロードしていました。その後しばらくして、サイバー犯罪者はこの手法を変化させ、マルウェアを使用するようになりました。8月にはGoで書かれた Linux.BtcMine.82 が発見されています。この Linux.BtcMine.82 は感染したデバイス上にマイナーをインストールするドロッパーです。

このトロイの木馬のダウンロード元となるサイバー犯罪者のサーバーについて調査を行った結果、そこで同様の機能を持つ複数のWindows向けマイナーが検出されました。この脅威に関する詳細についてはこちらの記事をご覧ください。

11月、 Linux.BtcMine.174 と名付けられたまた別のLinuxマイナーが発見されました。このトロイの木馬は1,000行を超えるコードを含んだ大きなシェルスクリプトで、複数のコンポーネントから構成されています。感染したデバイス上で実行中のアンチウイルスプログラムを無効にすることができ、ネットワーク上にある他のデバイスを感染させようとします。また、トロイの木馬 Linux.BackDoor.Gates.9 のバージョンの1つをダウンロードします。このバックドアファミリーはサイバー犯罪者からのコマンドを実行し、DDoS攻撃を行うよう設計されています。

危険なサイトと非推奨サイト

Parental (Office) ControlとSpIDer Gateのデータベースには、非推奨サイトや潜在的に危険であると考えられるサイトのアドレスが定期的に追加されています。それらは詐欺サイトやフィッシングサイト、マルウェアを拡散するサイトのアドレスです。以下のグラフは2018年にデータベース追加されたアドレス数の推移を表しています。

ネットワーク詐欺

インターネット詐欺は広く使用されている犯罪手口です。2018年もオンライン犯罪者の活動は活発なものとなりました。3月初旬、 Mail.Ru グループからのものを装ったフィッシングメールが大量に配信されました。犯罪者は Mail.Ru メールサービスのものを模倣した偽のWebサイトを使用して、 Mail.Ru メールサーバーのユーザーから認証情報を取得しようとしていました。

5月には、SMSやメッセンジャーを介して詐欺サイトへのリンクを拡散するケースが確認されました。被害者は、公共施設や医療サービス、強制保険の過払いに対する補償を受けることができると持ち掛けられます。補償を受けるために少額のお金を送金するよう要求されますが、もちろん、その後ユーザーが金銭を受け取ることはありません。

2018年2月から5月にかけて110を超える同様のWebサイトがDoctor Webのエキスパートによって確認されています。8月には、ホスティングプロバイダ RU-CENTER に登録されたドメイン管理者に対してメールが送信されました。犯罪者は期限切れとなるドメインを更新するために料金を支払うよう要求し、 RU-CENTER 公式の支払い方法ではなく犯罪者の使用する送金サービス Yandex.Money に関する詳細を提示していました。

多くの場合、犯罪者は良く知られた企業を装ってメールを送信します。人気のオンラインストア Aliexpress も例外ではありません。 Aliexpress からのものを装ったメールは、利用者に対して様々な割引やギフトを受けられる特別なオンラインストアにアクセスするよう促すものでした。

この「オンラインストア」は、様々な不正ストア(説明と異なる商品が送られてくる、商品をより高い価格で再販している、人気商品の粗悪な模倣品を販売しているなど)へのリンクを含んだページとなっています。犯罪者が Aliexpress の実際の利用者の連絡先情報が保存されたデータベースをどのようにして入手したのかは未だ明らかになっていません。

モバイルデバイス

2018年、多くのマルウェアがAndroidデバイスのユーザーを襲いました。それらマルウェアの中には、ロシアやトルコ、ブラジル、スペイン、ドイツ、フランスなどの国々でユーザーから金銭を盗もうと試みるバンキング型トロイの木馬が含まれていました。春には、多機能なバンキングアプリケーションを装って拡散され、ロシアの金融機関利用者を攻撃していたトロイの木馬 Android.BankBot.344.origin が発見されました。 Android.BankBot.344.origin はログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するようユーザーに促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。

11月には、欧州のAndroidデバイスユーザーを標的とする Android.BankBot.495.origin についてDoctor Webのエキスパートによる調査が行われました。このトロイの木馬はSMSメッセージを横取りし、電話番号やその他の機密情報を盗みます。

12月には、ブラジルの金融機関の利用者を攻撃しているトロイの木馬 Android.BankBot.495.origin が発見されました。このトロイの木馬はAndroidのアクセシビリティ機能を使用して実行中のアプリケーションのウィンドウの内容を読み取り、機密情報を犯罪者に送信するほか、ボタンを自動的にタップしてプログラムの動作をコントロールします。また、偽のウィンドウを表示させ、認証情報やクレジットカード情報、その他の機密情報を入力するようユーザーに促す機能も備えています。

2018年を通して、Android向けトロイの木馬 Android.BankBot.149.origin のソースコードを基にしたAndroidバンカーが盛んに拡散されました。そのようなトロイの木馬に Android.BankBot.250.origin と Android.BankBot.325.origin があります。これらトロイの木馬はユーザーから機密データや金銭を盗むだけでなく、犯罪者が感染させたデバイスにリモートでアクセスすることを可能にします。

Android.DownLoader.753.originや Android.DownLoader.768.origin、 Android.DownLoader.772.origin などのダウンローダ型トロイの木馬によって、多くのバンキング型トロイの木馬がデバイス上に侵入を果たしました。これらダウンローダ型トロイの木馬は便利なプログラムを装って拡散されていますが、実際にはバンキング型トロイの木馬をダウンロードし、インストールしようと試みます。8月には、 Android.Spy.409.origin、 Android.Spy.443.origin 、そしてアドウェアである Android.HiddenAds.710 や Android.HiddenAds.728 などの他の悪意のあるアプリケーションの拡散にも同様のダウンローダが使用されていたことがDoctor Webによって明らかになりました。

2018年、Androidユーザーは再び、インターネットから任意のコードをダウンロードすることのできるトロイの木馬 Android.RemoteCode ファミリーの標的となりました。2月には、 Android.RemoteCode.127.origin と名付けられたそのうちの1つがウイルスアナリストによって発見されました。 Android.RemoteCode.127.origin は補助モジュールをダウンロードし、このモジュールが様々な機能を持った別の悪意のあるプラグインをダウンロードして起動させます。トロイの木馬のコンポーネントが検出されるのを防ぐため、犯罪者はそれらを暗号化して画像内に隠していました。

Android.RemoteCode.152.origin としてDr.Webのウイルスデータベースに追加された、このファミリーに属するまた別のトロイの木馬は、アドウェアモジュールをダウンロードして起動させます。 Android.RemoteCode.152.origin はこれらのモジュールを使用して見えない広告バナーを作成し、それらをクリックすることでサイバー犯罪者に収益をもたらします。

サイバー犯罪者は不正に収益を得るために、 Android.CoinMine.15 などのトロイの木馬マイナーを含む別の悪意のあるプログラムも使用しています。 Android.CoinMine.15 はスマートテレビやルーター、ストリーミングボックスなどの様々なAndroidデバイスを感染させます。このトロイの木馬は、Debug Bridge (ADB) によって使用される5555番ポートが開いているデバイスを感染させ、ワームのように拡散されます。

秋には、仮想通貨Bitcoin、 Monero、 zCash、 DOGE、 DASH、 Etherium、 Blackcoin、 Litecoinに加え、 QIWI、 WebMoney (R and Z)、 Yandex.Money 決済システムのデジタルウォレット番号を置き換えるクリッパートロイの木馬 Android.Clipper.1.origin がDoctor Webのエキスパートによって発見されました。ユーザーがデジタルウォレット番号をクリップボードにコピーすると、 Android.Clipper.1.origin はその番号をサイバー犯罪者のウォレット番号と置き換えます。その結果、ユーザーはサイバー犯罪者のアカウントに送金してしまうことになります。

犯罪者は詐欺目的でトロイの木馬を積極的に使用しています。2018年に多く見られた手口は、調査に参加することで報酬を得ることができるとユーザーを騙すものです。それらトロイの木馬は起動されると犯罪者によって作成されたWebページを開き、いくつかの質問に答えるようユーザーを促します。報酬を受け取るために、ユーザーは確認料や手数料などを支払うよう要求されますが、支払を行ったユーザーが報酬を受け取ることはありません。広告を含んだWebサイトを開き、それらを自動的にクリックするクリッカートロイの木馬も広く使用されています。詳細についてはこちらの記事をご覧ください。

また別の詐欺手法が、Androidモバイルデバイスのユーザーを高額なサービスに登録させるというものです。 Android.Click.245.origin のようなトロイの木馬は、ユーザーに様々なソフトウェアをダウンロードさせるための偽のWebサイトを開きます。ユーザーはダウンロードを完了させるために、確認コードを受け取るための電話番号を入力するよう要求されます。なかには、自動的に登録が行われるケースもあります。この詐欺手法に関する詳細についてはこちらの記事をご覧ください。

2018年には、Androidファームウェア感染の新たなケースが確認されました。そのようなケースの1つ、Androidデバイスの40を超えるモデルのファームウェアに埋め込まれたトロイの木馬 Android.Triada.231 が3月にウイルスアナリストによって発見されました。このトロイの木馬はソースコードレベルでシステムライブラリの1つに埋め込まれていました。 Android.Triada.231 は感染したスマートフォンやタブレットが起動する度に自動的に起動し、その際、プログラムを起動させるシステムプロセスである Zygote に自身を埋め込みます。その結果、 Android.Triada.231 は他のプロセスを感染させ、密かに悪意のある動作を実行することが可能になります。 Android.Triada.231 の主な機能はプログラムを密かにダウンロード、インストール、削除することです。

今後の傾向と予測

2018年にはウイルスの深刻な大発生は見られなかったものの、今後、大量拡散の新たな波が起こる可能性は十分にあります。様々な言語で書かれた悪意のあるスクリプトの数は増加の一途をたどるでしょう。そして、このようなスクリプトはWindowsデバイスだけでなく、Linuxを中心とした他のシステムをも標的にしていくものと考えられます。

感染したデバイスのハードウェアを使用して密かに仮想通貨をマイニングする新たなトロイの木馬も登場するでしょう。IoTに対するサイバー犯罪者の関心も引き続き衰えることはなく、現時点でもすでに存在しているスマートデバイスを標的とするトロイの木馬は、今後確実にその数を増していくものと考えられます。

また、2019年にはAndroid向けの新たなトロイの木馬も作成・拡散されるものと考えられます。2018年の傾向から、モバイルマルウェアの中でも広告を表示させるトロイの木馬やバンキング型トロイの木馬が最も多く使用される可能性が高いでしょう。

そして、詐欺メールの数は減ることなく、オンライン詐欺師は引き続きインターネットユーザーを騙すための新たな手口を編み出し続けるでしょう。いずれにしても、2019年には情報セキュリティに対する新たな脅威が出現するということは間違いありません。すなわち、信頼性の高い最新のアンチウイルスをデバイスに導入することが重要であるということを意味しています。

2019年1月11日

株式会社Doctor Web Pacific

2018年も、Androidモバイルデバイスユーザーは依然として多数の悪意のあるプログラムや不要なプログラムの標的となり、それらプログラムの多くがGoogle Playから拡散されていました。また、2017年から見られた、様々な手法を用いてトロイの木馬を隠し、検出を困難にするという傾向が顕著に強まっています。

2018年に拡散されたモバイルデバイスユーザーに対する主な脅威の1つが、世界中で金融機関の利用者を攻撃するAndroidバンカーです。インターネットから任意のコードをダウンロードして実行する機能を備えたマルウェアもまた、深刻な脅威となっています。

ウイルス作成者は詐欺行為を実行するために積極的にトロイの木馬を拡散させていたほか、不正な収益を得るために他の悪意のあるアプリケーションも使用していました。また、モバイルデバイス上で仮想通貨のマイニングを実行しようと試み、Androidデバイスのクリップボードにあるデジタルウォレットの番号を置き換えるクリッパートロイの木馬も使用しています。

モバイルデバイスのファームウェアの製造段階での感染は引き続き問題となっています。2018年春には、Android OSのイメージ内にトロイの木馬が埋め込まれており、40を超えるモバイルデバイスのモデルが感染しているということがDoctor Webのウイルスアナリストによって明らかになりました。

そのほか、2018年を通して悪意のあるスパイウェアがユーザーを脅かしました。

最も注目すべきイベント

2018年の初め、情報セキュリティスペシャリストは、スマートテレビやルーター、ストリーミングボックス、およびその他のAndroidデバイスを感染させるトロイの木馬マイナー Android.CoinMine.15 の拡散を検出しました。このトロイの木馬は Android Debug Bridge(ADB) を使用するデバイスを感染させますが、その際、ランダムなIPアドレスを生成して、開いている5555番ポートに接続しようとします。接続に成功すると、自身のコピーと補助ファイルをデバイス上にインストールします。このファイルには Monero(XMR) をマイニングするソフトウェアが含まれています。

3月、Doctor WebはAndroidデバイスの40を超えるモデルのファームウェアにトロイの木馬 Android.Triada.231 が埋め込まれているという新たなケースを発見しました。 Android.Triada ファミリーに属する他の亜種は個別のアプリケーションとして拡散されますが、 Android.Triada.231 は正体不明の犯罪者によってソースコードレベルでシステムライブラリの1つに埋め込まれていました。このトロイの木馬はプログラムを起動させるシステムプロセスである Zygote に自身を埋め込みます。その結果、 Android.Triada.231 は他のプロセスを感染させ、密かに悪意のある動作(ユーザーの操作なしにソフトウェアをダウンロード、インストール、削除するなど)を実行することが可能になります。この脅威に関する詳細については、こちらの記事をご覧ください。

犯罪者は、悪意のあるプログラムや不要なプログラムが検出されることを防ぐために多種多様な手法を用いるようになってきています。2018年もこの傾向は続きました。マルウェアをユーザーに気づかれにくくするための最も一般的な方法はダウンローダの使用です。ダウンローダによって、トロイの木馬やその他の危険なソフトウェアがアンチウイルスソフトウェアに検出されるまでの時間をより長くし、ユーザーが疑いを持たないようにすることが可能になります。これらのダウンローダを使用して、サイバー犯罪者はスパイウェア型トロイの木馬など様々なマルウェアを拡散させることができます。

4月、ダウンローダ Android.DownLoader.3557 がGoogle Play上で発見されました。このダウンローダは、重要なプラグインを装った悪意のあるソフトウェア Android.Spy.443.origin と Android.Spy.444.origin をデバイス上にダウンロードし、それらをインストールするようユーザーに促します。これらトロイの木馬は感染したスマートフォンやタブレットの所在地を追跡し、利用可能なすべてのファイルに関する情報を取得し、サイバー犯罪者にユーザーのドキュメントを送信し、SMSメッセージを送信または盗み、デバイスのマイクを使用して周囲の音を録音し、動画を撮り、通話を傍受し、連絡先リストからデータを盗み、さらにその他の動作も実行します。

8月にはダウンローダ Android.DownLoader.784.origin がGoogle Play上で発見されています。このダウンローダはスパイウェア型トロイの木馬 Android.Spy.409.origin をデバイス上にダウンロードします。Android.DownLoader.784.origin は『Zee Player』というアプリケーションに埋め込まれていました。このアプリケーションは、トロイの木馬がモバイルデバイスのメモリ内に保存されている写真や動画を非表示にすることを可能にします。ユーザーが疑いを抱くことのないよう、このプログラムは実際にアプリケーションの機能を実行するようになっています。

ダウンローダ型トロイの木馬は、Androidバンカーの拡散に使用されるケースが多くなっています。7月、金融機関のアプリケーションを装った Android.DownLoader.753.origin がGoogle Play上で発見されました。これらトロイの木馬のいくつかは、信頼性を高めるために実際にアプリケーションの機能を実行します。 Android.DownLoader.753.origin は、機密情報を盗む様々なバンキング型トロイの木馬をダウンロードし、それらをインストールしようと試みます。

その後、同様の悪意のあるプログラムが複数、Google Play上で検出されています。 Android.DownLoader.768.origin と名付けられたそのうちの1つは、シェル社の公式ソフトウェアを装って拡散されていました。 Android.DownLoader.772.origin としてDr.Webのウイルスデータベースに追加されたまた別のトロイの木馬は、便利なユーティリティを装っていました。いずれのトロイの木馬もAndroidバンカーをダウンロード・インストールするために使用されていました。

ダウンローダはモバイルデバイスを他のマルウェアに感染させるために使用されます。10月、VPNクライアントを装ってGoogle Playから拡散されていたトロイの木馬 Android.DownLoader.818.origin が発見され、その後、このトロイの木馬の亜種 Android.DownLoader.819.origin と Android.DownLoader.828.origin が偽のゲームに含まれて拡散されていることがDoctor Webのエキスパートによって明らかになりました。これらトロイの木馬はアドウェア型トロイの木馬をインストールしようと試みます。

マルチコンポーネントな悪意のあるアプリケーションは、ますます一般的になってきています。この様なアプリケーションでは各モジュールが特定の機能を実行するため、犯罪者は必要に応じてトロイの木馬の機能を拡張することが可能です。この動作原理は、脅威の検出を妨げるために利用されています。ウイルス作成者はこれらプラグインを素早くアップデートすることで、トロイの木馬の本体に最小限の機能のセットだけを残し、その結果、検出されにくくすることができます。

2月、Doctor Webのエキスパートはそのようなマルチコンポーネントトロイの木馬である Android.RemoteCode.127.origin を発見しました。450万をこえるユーザーによってダウンロードされていたこのトロイの木馬は、様々な動作を実行する悪意のあるモジュールをダウンロードして起動させます。 Android.RemoteCode.127.origin のプラグインの1つは、無害であると見せかけた画像に隠されたパッチを使用して自身をアップデートします。悪意のあるオブジェクトを画像内に隠すこのような手法(ステガノグラフィ、 steganography) はウイルスアナリストの間で既に知られていますが、ウイルス作成者によって使用された例はごくわずかです。

複号化されて起動されると、このモジュールは別のプラグインが隠されたまた別の画像をダウンロードししますが、このプラグインが Android.Click.221.origin をダウンロードして起動させます。次に、Webサイトをバックグランドで開き、サイト上にあるリンクやバナーなどのアイテムをクリックします。こうして、サイバー犯罪者はWebサイトのトラフィックを増加させ、バナーをクリックすることで収益を得ることができます。

以下は、 Android.RemoteCode.127.origin の暗号化されたモジュールを含んだ画像の例です。

この脅威に関する詳細については、こちらの記事をご覧ください。

Android.RemoteCode.152.origin は、任意のコードをロードして実行することのできるまた別のマルチコンポーネントトロイの木馬です。650万を超えるユーザーによってインストールされていたこのトロイの木馬は、広告プラグインを含む補助モジュールを密かにダウンロードして起動させます。 Android.RemoteCode.152.origin はこれらのモジュールを使用して見えない広告バナーを作成し、それらをクリックすることでウイルス作成者に収益をもたらします。

8月、Doctor Webのアナリストはクリッパートロイの木馬 Android.Clipper.1.origin と、その亜種である Android.Clipper.2.origin について調査を行いました。良く知られた無害なアプリケーションを装って拡散されていたこの悪意のあるプログラムは、仮想通貨Bitcoin、 Monero、 zCash、 DOGE、 DASH、 Etherium、 Blackcoin、 Litecoinに加え、 QIWI、 WebMoney (R and Z)、 Yandex.Money 決済システムのデジタルウォレット番号を置き換えることができます。

ユーザーがデジタルウォレット番号をクリップボードにコピーすると、 Android.Clipper.1.origin はその番号をC&Cサーバーに送信します。次に、応答としてサイバー犯罪者のウォレット番号を受け取り、元の番号の代わりにそれをクリップボードに追加します。その結果、置き換えに気づいていないユーザーはサイバー犯罪者のアカウントに送金してしまうことになります。この脅威に関する詳細については、こちらの記事をご覧ください。

モバイルマルウェアに関する状況

Android製品上でDr. Webによって検出された脅威に関する統計によると、2018年にはアドウェア型トロイの木馬、悪意のあるソフトウェアや不要なソフトウェアをダウンロードするマルウェア、不要なソフトウェア、サイバー犯罪者のコマンドを実行するトロイの木馬が最も多く検出されています。

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドに従って悪意のある動作を実行するトロイの木馬です。

Android.Mobifun.4

Androidデバイス上に様々なソフトウェアをダウンロードするトロイの木馬です。

Android.HiddenAds

広告を表示させるよう設計されたトロイの木馬ファミリーです。

Android.DownLoader.573.origin

ウイルス作成者によって指定されたアプリケーションをダウンロードするマルウェアです。

Android.Packed.15893

プログラムパッカーで保護されたAndroidトロイの木馬です。

Android.Xiny.197

主にアプリケーションをダウンロード・削除するよう設計されたトロイの木馬です。

Android.Altamob.1.origin

悪意のあるモジュールを密かにダウンロード・起動させるアドウェア型トロイの木馬です。

2018年にAndroidデバイス上で検出された不要なプログラムと潜在的に危険なアプリケーションについては、広告を表示させるモジュールが最も多く、そのほかに、様々なソフトウェアをダウンロード・インストールするアプリケーションも検出されています。

Adware.Zeus.1

Adware.Altamob.1.origin

Adware.Jiubang

Adware.Adtiming.1.origin

Adware.Adpush.601

Adware.SalmonAds.3.origin

Adware.Gexin.2.origin

これらは、迷惑な広告を表示させるためにソフトウェア開発者やウイルス作成者によってアプリケーション内に組み込まれた不要なモジュールです。

Tool.SilentInstaller.1.origin

Tool.SilentInstaller.6.origin

他のアプリケーションをダウンロード・インストールするよう設計された潜在的に危険なプログラムです。

バンキング型トロイの木馬

バンキング型トロイの木馬は依然としてモバイルデバイスユーザーにとって深刻な脅威となっています。これら悪意のあるアプリケーションは金融機関の利用者のアカウントにアクセスするための認証情報、銀行カードの詳細、そして金銭を盗むために利用できるその他の機密情報を盗みます。2018年にはDr.Web for Androidによって11万を超えるバンキング型トロイの木馬がスマートフォンやタブレット上で検出されています。以下のグラフはAndroidバンカーの検出推移です。

バンキング型トロイの木馬 Android.BankBot.149.origin のソースコードが2016年の末にその作成者によって公開された際、Doctor Webのエキスパートは、このトロイの木馬に類似する様々なマルウェアが出現することになると予測しました。この予測は現実のものとなり、ウイルス作成者は同様のバンカーを積極的に作成するようになったほか、それらを改良したり新たな機能を追加したりするようになりました。2018年には、そのようなトロイの木馬の1つである Android.BankBot.250.origin と、その新たな亜種であり、より危険なバージョンである Android.BankBot.325.origin が拡散されました。Anubisとしても知られるこのバンカーは、多機能な悪意のあるアプリケーションです。ユーザーから機密データや金銭を盗むだけでなく、多くのコマンドを実行する機能も備えています。また、 Android.BankBot.325.origin をリモート管理ユーティリティとして使用することで、サイバー犯罪者は感染させたデバイスにアクセスすることが可能です。この脅威に関する詳細については、こちらの記事をご覧ください。

3月、Doctor Webのエキスパートは「VSEBANKI – Vse banki v odnom meste(ALLBANKS – すべての銀行を一か所に)」と呼ばれるアプリケーションにトロイの木馬 Android.BankBot.344.origin が潜んでいることを発見しました。犯罪者は、このアプリケーションは複数のロシアの金融機関のオンラインバンキングに使用できるユニバーサルアプリケーションであると謳っています。

起動されると、 Android.BankBot.344.origin はログインとパスワードを使用して既存のモバイルバンキングアカウントにログインするよう、またはクレジットカードの情報を入力するようユーザーに促します。ユーザーがデータを入力してしまうと、それらがサイバー犯罪者に送信されます。その結果、犯罪者はユーザーから金銭を盗むことが可能になります。

秋には、同じくGoogle Playから拡散されてスペイン、フランス、ドイツの金融機関の利用者を攻撃していたバンカー Android.Banker.2876 についてウイルスアナリストによる調査が行われました。このトロイの木馬はフィッシングウィンドウを表示して電話番号を入力するようユーザーに促し、それらの情報を犯罪者に送信します。その後、 Android.Banker.2876 はSMSメッセージを横取りし、その内容も犯罪者に送信します。その結果、犯罪者は銀行取引を確定するためのワンタイムパスワードやフィッシング攻撃に使用することのできるその他の機密情報を入手することが可能になります。

その後間もなくして、Doctor Webのウイルスアナリストは、ブラジルの金融機関の利用者を攻撃しているトロイの木馬 Android.BankBot.495.origin をGoogle Play上で発見しました。このトロイの木馬はAndroidのアクセシビリティ機能を使用して実行中のアプリケーションのウィンドウの内容を読み取り、機密情報を犯罪者に送信するほか、ボタンを自動的にタップしてプログラムの動作をコントロールします。また、偽のウィンドウを表示させ、認証情報やクレジットカード情報、その他の機密情報を入力するようユーザーに促す機能も備えています。

詐欺

Androidデバイス向けのマルウェアを詐欺行為に使用するサイバー犯罪者が増えています。2018年にはそのような事例が多く確認されました。そのうちの1つが、4月に記事を掲載した Android.Click.245.origin です。このトロイの木馬は良く知られたアプリケーションを装って拡散されていましたが、実際には偽のWebページを開き、ユーザーに電話番号を入力させた後、様々なソフトウェアをダウンロードさせます。電話番号を入力したユーザーは「ダウンロード」を完了するために必要とされる確認コードが含まれたSMSメッセージを受け取ります。ところが、このコードを入力したユーザーは有料サービスに登録されてしまいます。感染させたデバイスがモバイル通信経由でインターネットに接続していた場合、ユーザーは偽のダウンロードボタンをクリックした直後に Wap-Click テクノロジーを使用して高額なサービスに自動的に登録されます。以下の画像はその例です。

2018年を通して、C&Cサーバーからのコマンドに従ってあらゆるWebページを開くことのできるトロイの木馬が他にもGoogle Play上で発見されています。そのようなトロイの木馬には、 Android.Click.415、 Android.Click.416、 Android.Click.417、 Android.Click.246.origin、 Android.Click.248.origin、 Android.Click.458 などがあります。これらトロイの木馬もまた、レシピ集、マニュアル、音声アシスタント、ゲーム、ブックメーカーアプリケーションなどの便利なプログラムを装って拡散されていました。

偽の調査を行うWebページを開くトロイの木馬 Android.FakeApp ファミリーも多く拡散されました。このファミリーに属するトロイの木馬は、調査に参加することで報酬を得ることができるとしてユーザーを騙します。報酬を受け取るために、ユーザーは手数料を支払うよう要求され、ユーザーが支払いに同意すると指定された金額がサイバー犯罪者に振り込まれます。もちろん、ユーザーが報酬を受け取ることはありません。

また、2018年には詐欺アプリケーション Android.FakeApp と Android.Click が多数発見されています。これらのアプリケーションは、 85,000 を超えるAndroidデバイスのユーザーによってインストールされていました。これらの脅威に関する詳細については、こちらの記事をご覧ください。

今後の傾向と予測

2019年もモバイルデバイスユーザーはバンキング型トロイの木馬による攻撃を受け、ウイルス作成者はそれらトロイの木馬の機能を改良し続けていくものと考えられます。Androidバンカーは幅広いタスクを実行することが可能な多機能なマルウェアへと変化を遂げる可能性があります。

詐欺アプリケーションや広告を表示するトロイの木馬の数も増加するものとみられます。Androidデバイスの処理能力を利用して仮想通貨をマイニングする試みは今後も続くでしょう。また、さらなるファームウェアの感染が起こる可能性も否定できません。

サイバー犯罪者は、アンチウイルスを回避するための方法と、今後Android OSに組み込まれる新しい制限や保護機能を回避するための方法を進化させていくものと考えられます。それらのバリアを回避することのできるルートキットやトロイの木馬にも注意していく必要があります。新しい動作原理を持ち、これまでにない方法で機密情報を入手する悪意のあるプログラムが出現する可能性があります。例えば、モバイルデバイスのセンサーやアイトラッキング(視線追跡)センサーを利用して、入力されたテキストに関する情報を入手する方法などが挙げられます。さらに、機械学習アルゴリズムやその他の人工知能を使用する新しいマルウェアが登場する可能性もあります。

2019年1月9日

株式会社Doctor Web Pacific

2018年最後の月は、情報セキュリティに関して目立った動きは見られませんでした。コンピューター上ならびにメール内で検出されたマルウェアについては、依然として悪意のある JavaScript シナリオが最も多くなっています。これらの多くは感染したデバイス上に他のマルウェアをダウンロードするものや、感染したコンピューターのハードウェアを使用して仮想通貨をマイニングするよう設計されたものでした。11月同様、マルチコンポーネントなバンキング型トロイの木馬 Trojan.SpyBot.699 がハードディスク上で多く検出されています。サイバー犯罪者は、このトロイの木馬を使用することで様々なコマンドをリモートからコンピューター上で実行し、他の悪意のあるアプリケーションを起動させることができます。

Doctor Web統計サーバーによる統計

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

Trojan.SpyBot.699

マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者が様々なアプリケーションをダウンロード・起動し、コマンドを実行することを可能にします。銀行口座から金銭を盗む目的で設計されています。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

VBS.DownLoader

悪意のあるJavaScriptのファミリーです。コンピューター上に他のマルウェアをダウンロード・インストールするよう設計されています。

メールトラフィック内で検出された脅威の統計

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

Trojan.SpyBot.699

マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者が様々なアプリケーションをダウンロード・起動し、コマンドを実行することを可能にします。銀行口座から金銭を盗む目的で設計されています。

W97M.DownLoader

オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬ファミリーです。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

暗号化ランサムウェア

2018年12月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。

• Trojan.Encoder.858 — リクエストの22.34%
• Trojan.Encoder.11464 — リクエストの11.71%
• Trojan.Encoder.11539 — リクエストの10.17%
• Trojan.Encoder.25574 — リクエストの5.08%
• Trojan.Encoder.567 — リクエストの4.93%
• Trojan.Encoder.5342 — リクエストの1.54%

危険なWebサイト

2018年12月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は257,197件となっています。

モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム

12月、Doctor Webのエキスパートはブラジルのユーザーを標的とした悪意のあるアプリケーション Android.BankBot.495.origin をGoogle Play上で発見しました。このトロイの木馬は銀行の口座情報を盗み、Androidのアクセシビリティ機能を使用して他のプログラムをコントロールします。そのほかGoogle Playでは、 Adware.HiddenAds と Adware.Patacore ファミリーに属するアドウェア型トロイの木馬や、その他の悪意のあるまたは不要なアプリケーションも発見されています。また、犯罪者がモバイルデバイスユーザーを監視することを可能にする商用スパイウェア Program.Spyzie.1.origin の新たなバージョンも発見されました。

12月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• ブラジルのユーザーを標的にするバンキング型トロイの木馬
• 危険なスパイウェアの新たなバージョンを検出
• Google Play上で悪意のあるアプリケーションや不要なアプリケーションを多数発見

モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。

2019年1月9日

株式会社Doctor Web Pacific

12月上旬、ブラジルのAndroidデバイスユーザーはGoogle Playから拡散されたバンキング型トロイの木馬による攻撃を受けました。Google Playでは、その他の悪意のあるアプリケーションもいくつか発見されています。12月の終わりには大量の機密情報を収集する商用スパイウェアの新たなバージョンがDoctor Webのエキスパートによって発見されました。

12月のモバイル脅威

12月初旬、ウイルスアナリストは、ブラジルの金融機関の利用者を攻撃していたバンキング型トロイの木馬 Android.BankBot.495.origin について調査を行いました。このマルウェアはAndroidのアクセシビリティ機能を取得しようと試み、その機能を使用することでバンキングアプリケーションをコントロールし、それらアプリケーションのウィンドウの内容を読み取り、機密情報を犯罪者に送信します。さらに、 Android.BankBot.495.origin はアプリケーションの前面にフィッシングウィンドウを表示させ、認証情報、銀行カード情報、その他の機密データを入力するようユーザーに促します。

このトロイの木馬に関する詳細については、こちらの記事をご覧ください。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.HiddenAds.261.origin

Android.HiddenAds.659

モバイルデバイス上に迷惑な広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.DownLoader.573.origin

別のマルウェアアプリケーションをダウンロードするよう設計されたトロイの木馬です。

Android.Mobifun.4

様々なアプリケーションをダウンロードするトロイの木馬です。

Adware.Zeus.1

Adware.Patacore.1.origin

Adware.Adpush.2514

Adware.AdPush.29.origin

Adware.Jiubang.2

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

Google Play上の脅威

12月を通して、悪意のあるプログラムや不要なプログラムが多数Google Play上で検出されました。それらの中には、ゲームや便利なアプリケーションを装って拡散されていたアドウェア型トロイの木馬 Android.HiddenAds.343.origin と Android.HiddenAds.847 が含まれています。起動されると、これらトロイの木馬はホーム画面から自身のアイコンを隠し、広告を表示させます。

また、不要なモジュールを含んだプログラム Adware.Patacore と Adware.HiddenAds も検出されています。これらのプログラムは、それらが含まれているソフトウェアが実行されていない場合でも広告を表示することができます。合計で530万を超えるユーザーによってインストールされていました。

サイバー犯罪者は詐欺アプリケーションを拡散し続けています。12月にはトロイの木馬 Android.FakeApp.149、 Android.FakeApp.151、 Android.FakeApp.152 が検出され、Dr.Webのウイルスデータベースに追加されました。これら悪意のあるプログラムは詐欺サイトを開き、いくつかの質問に回答することで報酬を得ることができるとユーザーを騙します。ユーザーは「報酬」を受け取るために手数料を支払うよう要求されます。もちろん、その後ユーザーが報酬を受け取ることはありません。

また、ウイルス作成者がユーザーのスマートフォンやタブレットを介してトラフィックをリダイレクトするために使用していたトロイの木馬 Android.Proxy.4.origin も検出されています。 Android.Proxy.4.origin は一見無害なゲームに隠されていました。

サイバースパイ行為

12月に検出された潜在的に危険なプログラムの中に、Androidデバイスユーザーを監視することを可能にする商用スパイウェア Program.Spyzie.1.origin の新しいバージョンがあります。このスパイウェアはテキストメッセージやメールを横取りして読み込み、通話、Webブラウザ履歴、感染したスマートフォンやタブレットの位置情報を追跡します。また、一般的なオンラインメッセンジャーのメッセージ履歴にアクセスし、その他の情報を盗みます。

Androidユーザーは、オンラインとGoogle Playの両方から拡散される様々な悪意のあるプログラムや不要なプログラムの標的となっています。また、犯罪者がモバイルデバイスに物理的にアクセスすることが可能な場合、直接マルウェアをインストールされてしまう可能性もあります。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。

2018年12月11日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、ブラジルの金融機関の利用者を攻撃しているトロイの木馬 Android.BankBot.495.origin をGoogle Play上で発見しました。このトロイの木馬は感染したモバイルデバイスを操作し、ユーザーの機密情報を盗むために、Androidの特別な機能（アクセシビリティサービス）を利用します。

Android.BankBot.495.origin はAndroidスマートフォンやタブレットのユーザーをモニターすることを可能にするとされるアプリケーションを装って拡散されていました。このトロイの木馬は、WLocaliza Ache Já、WhatsWhere Ache Já、WhatsLocal Ache Jáと呼ばれるソフトウェアに隠されていました。Doctor WebからGoogle社に対して報告を行ったところ、これらのプログラムは直ちにGoogle Playより削除されました。2,000人を超えるユーザーがこのトロイの木馬をダウンロードしています。

起動すると、 Android.BankBot.495.origin はシステム設定を開き、アクセシビリティオプションを有効にするようユーザーに促すことでアクセシビリティ機能を取得しようとします。ユーザーがトロイの木馬に権限を与えることに同意すると、 Android.BankBot.495.origin はバックグラウンドでプログラムをコントロールし、ボタンをタップし、アクティブなアプリケーションウィンドウからその内容を盗むことができるようになります。

トロイの木馬がアクセシビリティ機能にアクセスすることをユーザーが許可すると、 Android.BankBot.495.origin はウィンドウを閉じ、悪意のあるサービスを開始し、それを使用してバックグラウンドで動作を続けます。次に、 Android.BankBot.495.origin は実行中のプログラムの前面に画面を表示させるためのアクセスを要求します。このオプションは後にフィッシングウィンドウを表示させる際に必要となります。先に取得したアクセシビリティ機能を使用する許可は、許可を要求した際に表示されるあらゆる「PERMITIR（許可）」ボタンを自動的にタップするために使用されます。その結果、システム言語がポルトガル語であれば、トロイの木馬は必要な権限を勝手に取得することができるようになります。

さらに、このトロイの木馬は特別な自己防衛機能を使用して、いくつかのアンチウイルスやユーティリティをトラッキングし、それらが起動されると「戻る」ボタンを4回押してウィンドウを閉じようとします。

Android.BankBot.495.origin は初期設定を受け取るためにリモートホストに接続し、見えないWebViewウィンドウ内で犯罪者から受け取ったリンクを辿ります。何回かリダイレクトされた後、トロイの木馬は2つのC&Cサーバーの暗号化されたIPアドレスがある最後のリンクを受け取ります。次に、 Android.BankBot.495.origin はそれらの1つに接続し、アプリケーションの名前が記載されたリストを受け取ると、それらがデバイス上にインストールされているかどうかを確認してサーバーに報告します。続けて、複数のリクエストを1つずつ送信し、アプリケーションのいずれか1つ（サーバーの設定によって異なる）を起動させるコマンドを受け取ります。Doctor Webによる調査が行われた時点で、このトロイの木馬はデフォルトのSMSアプリケーションのほか、金融機関Banco Itaú S.A.およびBanco Bradesco S.A.のソフトウェアを起動させることが可能でした。

Banco Itaúを起動した場合、このトロイの木馬はアクセシビリティ機能を使用してウィンドウの内容を読み取り、ユーザーの銀行口座の残高に関する情報を犯罪者に転送します。続けて、アプリケーション内の口座管理に移動し、そこで電子取引の確定に使用されるセキュリティコードであるiTokenキーをコピーして犯罪者に送信します。

Bradescoを起動した場合、トロイの木馬はユーザーの口座情報を読み込み、C&Cサーバーから受け取ったPINコードを入力して自動的にログインしようと試みます。 Android.BankBot.495.origin はユーザーの口座残高をコピーし、先に入手しておいた口座情報と一緒に犯罪者に送信します。

SMSアプリケーションを起動させるコマンドを受け取った場合、トロイの木馬はSMSを開き、メッセージのテキストを読み込んで保存し、それらをサーバーに送信します。また、CaixaBank S.A.から受け取ったメッセージを特定することができ、それらを個別のリクエストで送信します。

サイバー犯罪者はフィッシング攻撃にも Android.BankBot.495.origin を使用しています。このトロイの木馬は、Itaucard Controle seu cartão、Banco do Brasil、Banco Itaú、CAIXA、Bradesco、Uber、Netflix、Twitterのソフトウェアを監視します。これらのソフトウェアが起動されるとトロイの木馬はそれを検知し、起動されたアプリケーションのものを模倣した偽のWebページを2つ目のC&Cサーバーからロードしてオーバーレイウィンドウで開きます。ユーザーは口座に関する情報、銀行口座番号、キャッシュカードに関する詳細、ログイン、パスワード、およびその他の機密情報を入力するよう促される場合があります。

以下の画像はそのようなフィッシングページの例です。

ユーザーが入力した情報は犯罪者に送信されます。その後、トロイの木馬は偽のウィンドウを閉じ、模倣の対象となったアプリケーションを再起動させます。アプリケーションのウィンドウが閉じられたことをユーザーが不審に思わないようにするためです。

Androidソフトウェアをインストールする際は、たとえそれがGoogle Playから入手するものであったとしても、十分に注意を払うようにしてください。犯罪者は良く知られたソフトウェアの偽物や、一見無害にみえるアプリケーションを作成することができます。トロイの木馬をインストールしてしまうリスクを減らすために、開発者の名前、アプリケーションがGoogle Playに追加された日付、ダウンロード数、他のユーザーによるレビューに気を付けるようにしてください。また、アンチウイルスを使用することも重要です。

バンキング型トロイの木馬 Android.BankBot.495.origin の既知のすべての亜種はDr.Web for Androidによって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Android.BankBot.495.originの詳細 (英語)

#Android, #Google_Play, #banking_Trojan, #phishing

2018年12月5日

株式会社Doctor Web Pacific

2018年最後の秋には興味深い情報セキュリティイベントがいくつか発生しました。感染したデバイスからアンチウイルスプログラムを削除する機能を備えたLinux向けのマイニング型トロイの木馬がDoctor Webのエキスパートによって発見され、その後、これまでにない方法でコンピューターを感染させるWindows向けのクリッカー型トロイの木馬が発見されました。Androidに対するウイルス作成者の関心も薄れていません。11月にはAndroid向けの新たな悪意のあるプログラムも検出され、Dr.Webのウイルスデータベースに追加されました。

11月の脅威

Trojan.Click3.27430 としてDr.Webのウイルスデータベースに追加されたトロイの木馬は、Webサイトのトラフィックを密かに増やすよう設計された悪意のあるプログラムで、固定IPアドレスを持たないコンピューターにサブドメインを結びつけることを可能にするDynDNSソフトウェアを装って拡散されていました。犯罪者はこのトロイの木馬を拡散させるための特別なWebサイトを作成しています。

このサイトでは、実際にはダウンローダである実行ファイルsetup.exeを含んだアーカイブをダウンロードすることができます。このダウンローダがARJアーカイブを装った別のファイルをインターネットからダウンロードしますが、このファイルは本物のアプリケーションと一緒にトロイの木馬をシステム上にインストールするドロッパーです。ユーザーが感染したコンピューターからこのアプリケーションをアンインストールしようとした場合、DynDNSのみが削除され、 Trojan.Click3.27430 はシステムに残って悪意のある動作を続けます。この脅威に関する詳細については、こちらの記事をご覧ください。

Doctor Web統計サーバーによる統計

Trojan.SpyBot.699

マルチモジュールのバンキング型トロイの木馬です。サイバー犯罪者が感染したデバイス上でさまざまなアプリケーションをダウンロード・起動させ、コマンドを実行することを可能にします。銀行口座から金銭を盗むことを目的に設計されています。

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.MulDrop

コンピューター上に別の悪意のあるプログラムをインストールすることのできるトロイの木馬です。

Trojan.Encoder.11432

WannaCryとして知られる暗号化ワームです。

メールトラフィック内で検出された脅威の統計

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

Trojan.SpyBot.699

マルチモジュールのバンキング型トロイの木馬です。サイバー犯罪者が感染したデバイス上でさまざまなアプリケーションをダウンロード・起動させ、コマンドを実行することを可能にします。銀行口座から金銭を盗むことを目的に設計されています。

JS.Miner

仮想通貨を密かにマイニングするよう設計されたJavaScriptシナリオのファミリーです。

Trojan.Encoder.26375

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬です。

暗号化ランサムウェア

2018年11月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。

• Trojan.Encoder.858—リクエストの32.15%
• Trojan.Encoder.11464—リクエストの11.17%
• Trojan.Encoder.11539—リクエストの10.80%
• Trojan.Encoder.25574—リクエストの4.91%
• Trojan.Encoder.567—リクエストの1.35%
• Trojan.Encoder.10700—リクエストの1.35%

危険なWebサイト

フィッシングサイトは危険な非推奨サイトの個別のカテゴリーに分類されます。フィッシングとは、被害者から機密情報（インターネットサービスのログインとパスワード、ソーシャルメディアの認証情報など）を盗むことを最終的な目的としたオンライン詐欺の一種です。犯罪者はさまざまなオンラインプラットフォームのデザインを模倣した偽のWebサイトを作成し、あらゆる手法を用いてユーザーをそこへ誘い込もうとします。入手した情報は詐欺や脅迫目的で広告を送信するために使用されます。

11月には、そのような詐欺メールが送信されるケースが複数Doctor Webのエキスパートによって確認されています。サイバー犯罪者はユーザーが利用していたメールサービスの管理者を装ってメールを送信していました。メールには、ユーザーがメールボックスを無効にするためのリクエストを送信したということ、そして、そのリクエストをキャンセルするにはメール内のリンクをクリックする必要があるということが記載されています。

このリンクはフィッシングサイトに繋がり、メールボックスへのアクセスに使用するログインとパスワードを入力するようユーザーに促す入力フォームが表示されます。ユーザーがどのようなデータを入力してもエラーメッセージが表示され、一方で入力された情報は直ちに犯罪者に転送されます。Doctor Webのスペシャリストはこのようなサイトを複数特定し、それらのURLはSpIDer Gateのデータベースに追加されました。

2018年11月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は231,074件となっています。

Linuxを狙ったマルウェア

Linux.BtcMine.174 は感染したコンピューターを利用して仮想通貨をマイニングする最初のLinux向けトロイの木馬ではありませんが、それらコンピューター上にインストールされたアンチウイルスを検索して削除する機能を備えているという点で非常に興味深いマルウェアとなっています。

このトロイの木馬は1,000行を超えるコードを含んだ大きなシェルスクリプトで、犯罪者のサーバーからダウンロードされた複数のコンポーネントで構成されています。インストールされると、悪意のあるスクリプトはトロイの木馬 Linux.BackDoor.Gates.9 のバージョンの1つをダウンロードします。このバックドアファミリーはサイバー犯罪者からのコマンドを実行し、DDoS攻撃を行うことを可能にします。

システム内にインストールされた Linux.BtcMine.174 は競合するマイナーを探し、見つかった場合はそれらのプロセスを終了させます。 Linux.BtcMine.174 が root として起動されていない場合は、複数のエクスプロイトを使用して自身の権限を昇格させます。その後、動作中のアンチウイルスプログラムを検出して終了させ、パッケージマネージャーを使用して、製品がインストールされているフォルダと製品のファイルを削除します。さらに、感染したデバイス上でルートキットをダウンロードして起動させ、コンピューターがこれまでにSSH経由で接続していた別のデバイスに関する情報を収集し、それらを感染させようとします。この脅威に関する詳細については、こちらの記事をご覧ください。

その他の情報セキュリティイベント

Doctor Webのサーバーによって収集された、感染したコンピューターやメールトラフィックに関する統計によると、11月に最も多く拡散されたマルウェアの一つは Trojan.SpyBot.699 となっています。これはハッカーグループRTMによって拡散されているマルチモジュールなバンキング型トロイの木馬です。

Trojan.SpyBot.699 の悪意のある機能は主にcore.dllダイナミックライブラリ内にあり、デバイスのメモリにアップロードされます。このトロイの木馬はWindowsの自動実行リストに自身を追加し、C&Cサーバーに送信されるすべてのデータを暗号化します。

Trojan.SpyBot.699 は犯罪者のコマンドに従って実行ファイルをダウンロードしてディスクに保存した後に実行するほか、保存せずにプログラムをダウンロードして実行し、ダイナミックライブラリをメモリにアップロードし、更新を実行し、 システムストレージ内にデジタル証明書をインストールし、その他の外部コマンドを実行します。

このマルウェアは、動作中のプロセス、開いているウィンドウの名前、ディスクに保存されているファイルの中から銀行のクライアントを検索することができます。また、ブラウザのクッキー内で銀行―クライアントシステムに関する情報を探します。必要な情報を入手すると、犯罪者は Trojan.SpyBot.699 とそのダウンロード可能なモジュールを使用して感染したシステムの詳細なスキャンを実行し、そのシステムが常に他のトロイの木馬に感染しているようにし、そして会計ソフトウェアや銀行―クライアントソフトウェア内にマルウェアを埋め込むことができるようになります。サイバー犯罪者の最終的な目的は、被害者の銀行口座から金銭を盗むことです。Dr.Webのアンチウイルス製品は、 Trojan.SpyBot.699 と現時点で知られているその悪意のあるモジュールをすべて検出・削除します。

モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム

11月、Doctor WebのウイルスアナリストはGoogle Playから拡散されていたトロイの木馬 Android.Banker.2876 を発見しました。このトロイの木馬は欧州の複数の銀行の利用者から機密情報を盗むために使用されていました。Google Play上では、他のマルウェアをダウンロードし、それらをインストールしようと試みるダウンローダ Android.DownLoader.832.origin など、その他の脅威も発見されています。また、違法な収益を得るために使用されていた Android.FakeApp ファミリーに属するトロイの木馬や、広告モジュール Adware.HiddenAds の埋め込まれたアプリケーションも発見されました。

11月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• 悪意のあるアプリケーションや不要なアプリケーションがGoogle Playから拡散される

モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。

2018年12月4日

株式会社Doctor Web Pacific

2018年の秋最後の月には、Android向けの新たなバンキング型トロイの木馬がDoctor Webのマルウェアアナリストによって発見されました。このトロイの木馬は欧州の金融機関の利用者を対象にGoogle Playから拡散されていました。11月にはその他のトロイの木馬や不要なソフトウェアも同じくGoogle Play上で発見されています。

11月のモバイル脅威

11月中旬、Doctor Webのエキスパートは欧州で複数の金融機関の利用者を攻撃していたバンキング型トロイの木馬 Android.Banker.2876 を発見しました。このトロイの木馬は機密情報を盗むほか、SMSを横取りしたり送信したりします。

Android.Banker.2876 には以下のような特徴があります。

• Google Play経由で拡散される
• スペイン、フランス、ドイツの金融機関のバンキングアプリケーションを模倣する
• ホーム画面のアプリ一覧から自身のアイコンを隠す
• ゲームが組み込まれており、ユーザーがウィンドウを閉じるとそのゲームが起動する

このトロイの木馬に関する詳細については、こちらの記事をご覧ください。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.Mobifun.4

さまざまなアプリケーションをダウンロードするトロイの木馬です。

Android.HiddenAds.288.origin

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.DownLoader.573.origin

別のマルウェアアプリケーションをダウンロードするトロイの木馬です。

Android.RemoteCode.183.origin

任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。

Adware.Zeus.1

Adware.Adpush.2514

Adware.Patacore.1.origin

Adware.Avazu.5.origin

Adware.Gexin.2.origin

Androidアプリケーションに組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示するよう設計されています。

Google Play上の脅威

11月初旬、Doctor Webのウイルスアナリストは不要なアドウェア Adware.HiddenAds.7.origin と Adware.HiddenAds.8.origin を含んだアプリケーションをGoogle Play上で発見しました。このモジュールは、それが組み込まれたプログラムが使用されていない時でも独立して広告を表示させます。

11月後半、Doctor Webのエキスパートは Android.FakeApp トロイの木馬ファミリーに属するまた別の亜種をGoogle Play上で発見し、それらは Android.FakeApp.138、 Android.FakeApp.139、 Android.FakeApp.144 としてDr.Webのウイルスデータベースに追加されました。これらトロイの木馬はアプリケーションに潜み、調査に参加することで報酬を得ることができるとしてユーザーを騙します。起動されると詐欺サイトを開き、いくつかの質問に回答するようユーザーに促します。その後、ユーザーは「報酬」を受け取るために電信送金、通貨換算、または犯罪者によって指定されたその他の方法で手数料を支払うよう要求されます。ユーザーが支払いに同意すると指定された金額がサイバー犯罪者に振り込まれます。もちろん、ユーザーが報酬を受け取ることはありません。

そのほか、ダウンローダ型トロイの木馬 Android.DownLoader.832.origin がさまざまなユーティリティを装って拡散されました。このトロイの木馬は別の悪意のあるアプリケーションをダウンロードし、それらをインストールしようと試みます。

Google Playは依然として最も安全なAndroidアプリの提供元ではありますが、サイバー犯罪者によるGoogle Playからの悪意のあるソフトウェアの拡散は後を絶ちません。Androidスマートフォンやタブレットを保護するため、Android向けのDr.Webアンチウイルス製品をインストールすることをお勧めします。

2018年11月28日

株式会社Doctor Web Pacific

通常、サイバー犯罪者たちは従来の拡散経路を用いることが多く、その1つがスパムです。しかしながら、時にそれ以外の手法が用いられることもあります。本記事では、Doctor Webのエキスパートが発見したそのような事例について紹介します。

Trojan.Click3.27430 は、それ自体は特筆すべきものではなく、Webサイトのトラフィックを増加させるよくあるクリッカー型トロイの木馬です。興味深いのは犯罪者が被害者のデバイス上にこのマルウェアをインストールする際に用いる手法です。

このトロイの木馬は、固定IPアドレスを持たないコンピューターにサブドメインを結びつけることを可能にするDynDNSソフトウェアのユーザーを攻撃対象にしています。ウイルス作成者は、このプログラムを無料でダウンロードできるとするWebページdnsip.ruを作成し、さらに、訪問者を自動的にdnsip.ruにリダイレクトするdns-free.comドメインを所有しています。

このWebサイトでは実際にアーカイブをダウンロードすることができます。アーカイブには実行ファイル setup.exe が含まれていますが、これはDynDNSインストーラではなくダウンローダです。これにはインターネットからダウンロードされたファイルの名前が格納されており、Doctor Webで分析したサンプルでは "Setup100.arj" でした。

その明らかな拡張子に反し、 "Setup100.arj"はARJアーカイブではありません。実行可能なMZPEファイルであり、自動解析ツールやその他のアプリケーションにMZPEとして認識されないよう、その値のうち3つが改変されています。

まず初めに、このプログラムはPowerShellを使用してWindows Defenderを無効にし、信頼性を高めるために自身を動作させるレジストリキーに変更を加えます。

次に、ドロッパーがファイルinstsrv.exe、 srvany.exe、 dnshost.exe、 yandexservice.exeをSystem32フォルダに保存します。 Instsrv.exe、 srvany.exe、 dnshost.exeはWindowsのユーザー定義サービスを作成するためのMicrosoftユーティリティで、 yandexservice.exeが Trojan.Click3.27430 です。続けて、ドロッパーは Trojan.Click3.27430 の悪意のある機能を実行する実行ファイル yandexservice.exe を "YandexService" という名前のサービスとして登録します。このサービスはインストール時にWindows自動実行リストに追加されます。ドロッパーが悪意のあるサービスを保存して起動させると、DynDNSアプリケーションがインストールされます。ユーザーが感染したコンピューターからこのアプリケーションをアンインストールしようとした場合、DynDNSのみが削除され、 Trojan.Click3.27430 はシステムに残って悪意のある動作を続けます。

マルウェアアナリストはトロイの木馬のまた別のコンポーネントである実行ファイルdnsservice.exeについても調査を行いました。このファイルもまた、DNSサービスという名前のWindowsサービスとして感染したコンピューター上にインストールされます。ウイルス作成者はこのマルウェアプログラム内にある、以下の特定のデバッグ行を削除し忘れていました。

C:\Boris\Программы\BDown\Project1.vbp 
C:\Boris\Программы\BarmashSetService\Project1.vbp
C:\Boris\Программы\Barmash.en.new\Project1.vbp 
C:\Boris\Программы\Barmash_en_Restarter3\Project1.vbp

このコンポーネントは、barmash.ruからダウンロードされるアーカイブを装った dnsservice.arj ファイルとして拡散されています。

Trojan.Click3.27430 のすべての既知の亜種はDr.Webによって検出・削除されます。また、Webサイトdnsip.ru、 dns-free.com、 barmash.ruはWebアンチウイルスであるSpIDer Gateの非推奨サイトリストに追加されています。

Doctor Webの収集したデータによると、2013年に最初の感染が発生してから現在までに約1,400人のユーザーがこのトロイの木馬に感染しています。脅威の痕跡情報 (Indicator of Compromise) 一覧はこちらをご確認ください。

Trojan.Click3.27430の詳細(英語)

#clicker #Trojan