2019年6月21日

株式会社Doctor Web Pacific

Doctor Webのウイルスラボでは、新しい種類のダウンローダ型トロイの木馬について調査を行いました。このマルウェアは JavaScript で書かれ、 Node.js を使用してシステム内で自身を起動させます。 Trojan.MonsterInstall と名付けられたこのトロイの木馬は、人気ゲームのチートを提供するサイトから拡散されていました。

この度、Doctor Webのウイルスラボは Yandex 社より Node.js トロイの木馬の希少なサンプルの提供を受け、それについて調査を依頼されました。このマルウェアはゲームのチートを提供するサイトから拡散されていたもので、複数のバージョンとコンポーネントがあります。

ユーザーがチートをダウンロードしようとすると、コンピューター上にパスワード保護された7zipアーカイブがダウンロードされます。アーカイブには実行ファイルが含まれており、このファイルは、起動されるとユーザーが要求したチートと一緒に他のトロイの木馬のコンポーネントをダウンロードします。

被害者のデバイス上で起動されると、 Trojan.MonsterInstall はその動作に必要なすべてのコンポーネントをダウンロード・インストールし、システムに関する情報を収集してトロイの木馬開発者のサーバーに送信します。そして応答を受け取ると、自動実行されるように自身を登録し、仮想通貨 TurtleCoin のマイニングを開始します。

このトロイの木馬の開発者は、それらを拡散するためのゲームのチートを提供するサイトを複数所有していますが、そのほかに、同じような他のサイトもトロイの木馬に感染させています。 SimilarWeb の統計によると、これらのサイトは月に12万7400回以上閲覧されています。

以下はマルウェアの開発者が所有するサイトです。

• румайнкрафт[.]рф;
• clearcheats[.]ru;
• mmotalks[.]com;
• minecraft-chiter[.]ru;
• torrent-igri[.]com;
• worldcodes[.]ru;
• cheatfiles[.]ru.

上記サイトのほか、 proplaying\[.]ru のチートも一部感染していることが明らかになっています。

Doctor Webでは、アンチウイルスを適時にアップデートし、疑わしいソフトウェアをダウンロードしないようにすることを推奨しています。

トロイの木馬のサンプルと拡散元に関する情報をご提供いただいた Yandex 社に対し、厚く御礼申し上げます。

MonsterInstallの詳細(英語)

IoC (Indicators of compromise)

#JavaScript #games #mining

2019年6月17日

株式会社Doctor Web Pacific

Google Chromeを使用して疑わしいWebサイトを開き、そのサイト上でユーザーを広告通知に登録させるトロイの木馬 Android.FakeApp.174 が、Doctor Webのエキスパートによって発見されました。これらの通知はブラウザが閉じている場合でも表示され、システム通知と間違えられる可能性があります。このような通知はAndroidデバイスのユーザーに煩わしい思いをさせるだけでなく、金銭や機密情報を盗む目的で使用されるようになる恐れがあります。

Webプッシュ通知を使用することで、Webサイトはブラウザでそのページが開かれていない場合でもユーザーが同意すれば通知を送信することが可能になります。無害なWebサイトであれば、この機能は有益で便利なものになります。たとえば、ソーシャルメディアはユーザーに新しいメッセージについて通知することができ、ニュースサイトは新しい記事について知らせることができます。一方で、ハッキングされたサイトや悪意のあるサイトからの広告や偽の通知を拡散させるために、サイバー犯罪者や悪質な広告主によってこの機能が悪用される可能性もはらんでいます。

プッシュ通知はモバイルデバイスのほか、デスクトップパソコンやートパソコンのブラウザでもサポートされています。通常、被害者は特別に作成されたリンクや広告バナーをクリックすることで危険なスパムサイトへ飛ばされます。 Android.FakeApp.174 は、犯罪者がそのようなWebサイトの訪問者数を増加させ、スマートフォンやタブレットのユーザーにプッシュ通知を登録させることを可能にする最初のトロイの木馬の1つです。

Android.FakeApp.174 は便利なプログラム（有名なブランドの公式ソフトウェアなど）を装って拡散されています。6月上旬、Google Play上でこのトロイの木馬の2つの亜種がDoctor Webのマルウェアアナリストによって発見されました。報告を受けたGoogle社によってマルウェアは削除されましたが、すでに1100人を超えるユーザーがそれらをダウンロードしていました。

起動されると、トロイの木馬はその設定内で指定されているWebサイトをGoogle Chromeで開きます。そのページからさまざまなアフィリエイトプログラムのページへと何度かリダイレクトを実行し、それらすべてのページでユーザーに通知の許可を要求します。その際、ユーザーに対して、認証のため（ユーザーがロボットでないことを確認する、など）であると説明したり、またはただ単にダイアログ内のどのボタンをクリックするかを示したりすることで、疑いを抱かれないようにしています。こうして、トロイの木馬は登録数を増やしていきます。以下の画像は通知の許可を求める画面の例です。

登録が完了すると、Webサイトはユーザーに対して疑わしい内容の通知を大量に送信しはじめます。これらの通知はブラウザが閉じられ、トロイの木馬がすでに削除されている場合でもOSのステータスバーに表示されます。その内容は、キャッシュボーナスや送金、ソーシャルメディア上の新しいメッセージに関する偽の通知から、星占い、カジノ、商品やサービスの広告、さらにはさまざまな「ニュース」まで、あらゆるものがあります。

それらの多くは実際のオンラインサービスやデバイス上にインストールされているアプリケーションの本物の通知のように見えます。たとえば、銀行、出会い系サイト、ニュースサイト、ソーシャルネットワークのロゴや目立つバナーが表示されます。このようなスパムメッセージが、場合によっては1日に数十通もAndroidデバイスユーザーに対して送信されます。

それらの通知には送信元となるWebサイトのアドレスも表示されていますが、警戒していないユーザーは気が付かなかったり、気に留めないこともあります。以下の画像は偽の通知の例です。

通知をクリックすると、ユーザーは疑わしいコンテンツを含むWebサイトへとリダイレクトされます。そのようなサイトには、カジノ、ベッティングショップ、さまざまなGoogle Playアプリケーション、割引やクーポン、偽のオンライン調査や賞品の抽選、パートナーリンクのアグリゲーター、そしてユーザーの住んでいる国によって異なるその他のオンラインリソースが含まれます。以下はそのようなサイトの例です。

これらリソースの多くは金銭を盗むための良く知られた詐欺スキームに使用されているものですが、今後、機密情報を盗むための攻撃に使用される可能性もあります。たとえば、銀行やソーシャルネットワークからのものを装った「重要な」通知をブラウザ経由で送信することで、ユーザーに偽の通知を本物であると思わせることができます。通知をタップしてしまったユーザーはフィッシングサイトへリダイレクトされ、そこで名前や認証情報、メールアドレス、クレジットカード番号、その他の機密情報を入力するよう求められます。

Doctor Webのエキスパートは、サイバー犯罪者は疑わしいサービスを宣伝するためにこの手法をより積極的に使用するようになるものとみています。モバイルユーザーはWebサイトを訪問する際には注意を欠かさず、見慣れないサイトや疑わしいサイトでは通知を登録しないようにしてください。すでにスパム通知を登録してしまっている場合は、以下の手順を実行してください。

• Chromeの設定を開き、[サイトの設定]で[通知]を選択します。
• 通知が有効になっているWebサイトのリストから該当するアドレスを見つけ、それをタップして、[消去してリセット]を選択します。

Dr.Web for Androidは Android.FakeApp.174 の既知の亜種をすべて検出し、削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

Android.FakeApp.174の詳細(英語)

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

• Android向けロシア初のアンチウイルス
• Google Playからのダウンロード数が、1.4億件を突破しました
• 個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード

2019年6月5日

株式会社Doctor Web Pacific

Dr.Web の統計によると、5月には4月と比較してユニークな脅威の数に1.49%の増加が見られました。検出されたすべての脅威の合計数は14.51%増加しています。マルウェアや不要なプログラムに関する統計では、アドウェアとインストーラが多く検出されています。メールトラフィック内で検出されるマルウェアは、依然としてMicrosoft Officeプログラムの脆弱性を悪用したものが多くを占めていますが、5月には危険なトロイの木馬 Trojan.Fbng.8 (FormBook)の拡散にも増加がみられました。

5月の脅威

5月、Doctor WebのリサーチャーはmacOSを狙うユニークなマルウェア Mac.BackDoor.Siggen.20 について注意を喚起しました。このマルウェアは犯罪者が被害者のデバイス上に悪意のあるpythonコードをダウンロードし、実行することを可能にします。さらに、このマルウェアを拡散させているWebサイトはWindowsユーザーもスパイウェア型トロイの木馬 BackDoor.Wirenet.517 (NetWire)に感染させています。 BackDoor.Wirenet.517 は被害者のPCを遠隔操作するためにハッカーによって使用される、良く知られたRATトロイの木馬です。このトロイの木馬は被害者のデバイス上でカメラやマイクを使用するなど、複数の悪意のある機能を備えているうえに、有効なデジタル署名を持っています。

この脅威についての詳細

Doctor Web統計サーバーによる統計

5月の脅威：

Adware.Softobase.12

古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。

Adware.Ubar.13

ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。

Trojan.InstallCore.3553

また別の良く知られたアドウェアインストーラです。広告を表示させ、ユーザーの許可なしに追加のプログラムをインストールします。

Trojan.Winlock.14244

Windows OSとその機能へのユーザーのアクセスをブロックまたは制限するランサムウェア型トロイの木馬です。システムのブロックを解除するために、ユーザーはサイバー犯罪者に身代金を支払うよう要求されます。

Trojan.Starter.7394

被害者のデバイス上で別の悪意のあるソフトウェアを実行するよう設計されたトロイの木馬です。

メールトラフィック内で検出された脅威の統計

5月の脅威：

W97M.DownLoader.2938

Officeアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたシステムに別の悪意のあるプログラムをダウンロードするよう設計されています。

Exploit.ShellCode.69

CVE-2017-11882と呼ばれる脆弱性を悪用する、悪意のあるMicrosoft Office Wordドキュメントです。

Exploit.Rtf.CVE2012-0158

CVE2012-0158と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。

Exploit.Rtf.435

ユーザーのデバイスにトロイの木馬 Trojan.Fbng.8 (FormBook)をダウンロードするために脆弱性 CVE-2017-11882 を悪用する悪意のあるMicrosoft Officeドキュメントです。

Trojan.PWS.Stealer.19347

感染したコンピューターに保存されているパスワードやその他の機密情報を盗むように設計されたトロイの木馬のファミリーです。

活動に増加がみられたマルウェア：

Trojan.Inject3.15480

FormBookとしても知られるトロイの木馬です。個人情報を盗むように設計されていますが、開発者のサーバーからコマンドを受け取ることもできます。

暗号化ランサムウェア

2019年5月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした：

• Trojan.Encoder.18000 — 15.38%
• Trojan.Encoder.858 — 9.89%
• Trojan.Encoder.11464 — 5.49%
• Trojan.Encoder.25574 — 5.49%
• Trojan.Encoder.11539 — 5.27%
• Trojan.Archivelock — 5.05%
• Trojan.Encoder.567 — 1.98%

危険なWebサイト

2019年5月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は223,952件となっています。

モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム

5月には、再びGoogle Playからさまざまな悪意のあるプログラムが拡散されました。広告バナーを表示させ、他のアプリやOSのインターフェースをブロックするトロイの木馬 Android.HiddenAds.1396 がDoctor Webのリサーチャーによって発見されています。5月の下旬にはスパイウェア型トロイの木馬 Android.SmsSpy.10206 と Android.SmsSpy.10263 が発見されました。これらトロイの木馬は受信するSMSを盗み、それらを犯罪者に送信します。

5月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• Google Playから新たなマルウェアが拡散

モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。

2019年6月4日

株式会社Doctor Web Pacific

5月、Androidデバイスは再び、Google Playから拡散される悪意のあるプログラムの標的となりました。それら悪意のあるプログラムにはアドウェア型トロイの木馬 Android.HiddenAds やテキストメッセージを横取りするスパイウェア Android.SmsSpy が含まれていました。

5月のモバイル脅威

5月に検出されたマルウェアに、 Android.SmsSpy ファミリーに属するスパイウェア型トロイの木馬 Android.SmsSpy.10206 と Android.SmsSpy.10263 があります。これらトロイの木馬はインターネットバンキング用のソフトウェアを装ってGoogle Playから拡散されていました。

インストールされて起動されると、これら悪意のあるプログラムは自身をデフォルトのSMSマネージャーとして設定しようと試み、ユーザーに権限を要求します。権限を取得すると、 Android.SmsSpy.10206 と Android.SmsSpy.10263 は受信するすべてのメッセージを横取りし、それらを犯罪者のサーバーに転送します。

このマルウェアには次のような特徴があります：

• スペイン語圏のユーザーを対象にしている
• オープンソースプログラムの SMSdroid を基に作成され、そこにトロイの木馬の機能が追加されている

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.RemoteCode.4411

Android.RemoteCode.197.origin

任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。

Android.HiddenAds.261.origin

Android.HiddenAds.1102

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Adware.Zeus.1

Adware.Jiubang.2

Adware.AdPush.33.origin

Adware.Toofan.1.origin

Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる不要なプログラムモジュールです。

Tool.VirtualApk.1.origin

アプリケーションがAPKファイルをインストールせずに実行することを可能にする、潜在的に危険なソフトウェアプラットフォームです。

アドウェア型トロイの木馬

5月上旬、Doctor Webのアナリストはオーディオプレーヤーを装って拡散されていたトロイの木馬 Android.HiddenAds.1396 をGoogle Play上で発見しました。

この悪意のあるプログラムは実際に音楽を再生しますが、初回起動後にアイコンを隠してしまうため、ユーザーはその後プログラムを起動することができなくなります。 Android.HiddenAds.1396 は迷惑な広告バナーを表示させ、ユーザーが感染したモバイルデバイスを操作することを困難にします。

新たな悪意のあるアプリケーションや不要なアプリケーションは依然としてGoogle Play上に登場し続けています。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。

ご利用のAndroidを守る必要があります。

Dr.Webを利用してみませんか?

• Android向けロシア初のアンチウイルス
• Google Playからのダウンロード数が、1.4億件を突破しました
• 個人向けDr.Web製品のユーザーは、無料でご利用いただけます

無料ダウンロード

2019年5月15日

株式会社Doctor Web Pacific

Doctor Webのリサーチャーによって、macOSを狙うユニークなマルウェアが発見されました。このマルウェアは犯罪者が被害者のデバイス上に悪意のある python コードをダウンロードし、実行することを可能にします。また、このマルウェアを拡散させているWebサイトはWindowsユーザーもスパイウェア型トロイの木馬に感染させています。

4月29日、macOSデバイスを狙う新たな脅威がDoctor Webのリサーチャーによって発見されました。 Mac.BackDoor.Siggen.20 と名付けられたこのマルウェアはハッカーがリモートサーバーから悪意のあるコードをアップロードして実行することを可能にするバックドアであるということが明らかになりました。

Mac.BackDoor.Siggen.20 は、その開発者によって管理されるWebサイトから被害者のデバイスに侵入しています。それらサイトの1つは架空の人物のポートフォリオサイトを装い、もう1つは WhatsApp メッセンジャーの公式サイトを装っています。

ユーザーがこれらのサイトを開くと、そこに埋め込まれたコードがユーザーのOSを特定し、それに応じてバックドアまたはトロイの木馬がダウンロードされます。すなわち、ユーザーがmacOSを使用している場合、そのデバイスは Mac.BackDoor.Siggen.20 に感染し、Windowsデバイスの場合は BackDoor.Wirenet.517 がダウンロードされます。後者は被害者のPCを遠隔操作するためにハッカーによって使用される、良く知られたRATトロイの木馬です。このトロイの木馬は被害者のデバイス上でカメラやマイクを使用するなど、複数の悪意のある機能を備えているうえに、有効なデジタル署名を持っています。

Doctor Webのデータによると、WhatsApp メッセンジャーを装って Mac.BackDoor.Siggen.20 を拡散させているWebサイトを訪問したユーザーの数は、ユニーク IP アドレスから約300人であると計測されています。この悪意のあるサイトは2019年3月24日から稼働しており、これまでのところハッカーによる大規模な活動には使用されていませんが、ユーザーの皆様には注意を怠らず、アンチウイルスをタイムリーにアップデートすることをお勧めします。現時点で、 Mac.BackDoor.Siggen.20 のすべてのコンポーネントを検出することができるのはDr.Webアンチウイルスのみとなっています。

Mac.BackDoor.Siggen.20の詳細(英語)

2019年5月8日

株式会社Doctor Web Pacific

Dr.Web の統計によると、4月には3月と比較してユニークな脅威の数に39.44%の減少が見られました。検出されたすべての脅威の合計数は14.96%減少しています。メールトラフィック内で検出されるマルウェアは、依然としてMicrosoft Officeプログラムの脆弱性を悪用したものが主流となっています。3月に見られた悪意のあるプログラムや不要なプログラムに関する傾向は4月も続き、検出された脅威の大半を悪意のあるブラウザ拡張機能、不要なプログラム、アドウェアが占めています。

非推奨サイトの数は28.04%増加しています。そのようなサイトの1つは動画や音声の編集ソフトウェアと一緒にバンキング型トロイの木馬とスティーラーを拡散させていました。Doctor Webでは4月の初めにこの脅威について記事を掲載しています。また、Doctor Webでは大手国際企業の公式アドレスから送信されるフィッシングニュースレターについても注意を喚起しています。

4月の脅威

Doctor Webは、動画や音声の編集ソフトウェアを配信する人気のWebサイトが侵害されていることについてユーザーに注意を促しました。ハッカーはサイト上のダウンロードリンクをハイジャックし、編集ソフトウェアと一緒に危険なバンキング型トロイの木馬である Win32.Bolik.2 と Trojan.PWS.Stealer （KPOT Stealer）が訪問者のデバイス上にダウンロードされるようにしていました。このトロイの木馬のファミリーは、Webインジェクション、トラフィックの横取り、キーロギングを実行し、さまざまな銀行クライアントシステムから情報を盗むよう設計されています。後日、ハッカーはトロイの木馬 Win32.Bolik.2 を別のマルウェアである Trojan.PWS.Stealer （KPOT Stealer）に変更しています。

この脅威についての詳細(英語)

Doctor Web統計サーバーによる統計

4月の脅威：

Adware.Softobase.12

古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。

Adware.Ubar.13

ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。

Trojan.Starter.7394

被害者のデバイス上で別の悪意のあるソフトウェアを実行するよう設計されたトロイの木馬です。

Adware.Downware.19283

通常、海賊版ソフトウェアのインストーラとして拡散されているアドウェアの一種です。インストールされるとブラウザの設定を変更し、さらに、ユーザーの許可なしに別のソフトウェアをインストールする場合もあります。

メールトラフィック内で検出された脅威の統計

Exploit.ShellCode.69

改変されたMicrosoft Office Wordドキュメントで、悪意のあるコードを実行するために脆弱性 CVE-2017-11882 を悪用します。

Exploit.Rtf.CVE2012-0158

CVE2012-0158と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。

JS.DownLoader.1225

コンピューター上に別のマルウェアをダウンロードしてインストールするよう設計された、 JavaScriptで書かれた様々な悪意のあるコードです。

Trojan.Encoder.26375

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬ファミリーに属する悪意のあるプログラムです。

W97M.DownLoader.2938

Officeアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたシステムに別の悪意のあるプログラムをダウンロードするよう設計されています。

暗号化ランサムウェア

2019年4月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした：

• Trojan.Encoder.858 — 17.95%
• Trojan.Encoder.18000 — 14.65%
• Trojan.Encoder.11464 — 7.69%
• Trojan.Archivelock — 5.49%
• Trojan.Encoder.567 — 3.85%
• Trojan.Encoder.11539 — 3.85%
• Trojan.Encoder.25574 — 2.75%

危険なWebサイト

2019年4月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は345,999件となっています。

モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム

4月、Doctor WebはAndroid OSの複数のクリティカルな脆弱性を悪用する危険なトロイの木馬 Android.InfectionAds.1 について報告しました。これらの脆弱性を利用することで、 Android.InfectionAds.1 はapkファイルを感染させることができるほか、ユーザーの許可なしにプログラムをインストールしたり削除したりすることが可能です。

また、4月にはGoogle Play上でダウンローダ型トロイの木馬やクリッカーなどの新たなマルウェアに加え、インスタグラムの認証情報を盗むスティーラー Android.PWS.Instagram.4 と Android.PWS.Instagram.5 が発見されています。

そのほか、新たなバンキング型トロイの木馬がAndroidスマートフォンやタブレットのユーザーを脅かしました。その中にはトロイの木馬 Android.Banker.180.origin の新たなバージョンやその他のマルウェアが含まれていました。

4月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。

• Google Playからの悪意のあるプログラムの拡散
• バンキング型トロイの木馬の拡散

2019年5月7日

株式会社Doctor Web Pacific

4月、Doctor WebはAndroid OSの複数の脆弱性を悪用するトロイの木馬 Android.InfectionAds.1 について報告を行いました。これらの脆弱性は、トロイの木馬がプログラムを感染させ、ユーザーの操作なしにソフトウェアをインストール／アンインストールすることを可能にします。また、日本の金融機関から金銭を盗むよう設計されたバンキング型トロイの木馬 Android.Banker.180.origin の新たな亜種がウイルスアナリストによって発見されました。Google Playから拡散されていた悪意のあるプログラムも発見されています。モバイルデバイス上にバンキング型トロイの木馬をダウンロードするダウンローダ型トロイの木馬 Android.DownLoader、 Android.Click ファミリーに属するクリッカー、インスタグラムユーザーのログインとパスワードを盗む Android.PWS.Instagram です。その他のマルウェアもDr.Webのウイルスデータベースに追加されています。

4月のモバイル脅威

4月の初め、Doctor Webは危険なトロイの木馬 Android.InfectionAds.1 について報告を行いました。犯罪者はこのトロイの木馬を無害なソフトウェアに埋め込み、人気のサードパーティAndroidアプリストアから配信していました。このトロイの木馬はAPKファイルを感染させるためにAndroid OSのクリティカルな脆弱性 CVE-2017-13156 を、プログラムをインストール／アンインストールするために同じくクリティカルな脆弱性である CVE-2017-13315 を悪用してします。 Android.InfectionAds.1 は迷惑なバナー広告を表示させることもでき、これにより、ユーザーによるデバイスの操作を困難にします。このトロイの木馬に関する詳細についてはウイルスライブラリをご覧ください。

Dr.Web for Androidによる統計

Android.Backdoor.682.origin

サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。

Android.HiddenAds.1102

Android.HiddenAds.261.origin

広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。

Android.RemoteCode.4411

任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。

Android.DownLoader.812.origin

別の悪意のあるプログラムをダウンロードするトロイの木馬です。

Adware.Zeus.1

Adware.AdPush.33.origin

Adware.Toofan.1.origin

Adware.Jiubang.2

Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。

Tool.VirtualApk.1.origin

アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。

Android版バンキング型トロイの木馬

4月を通して、バンキング型トロイの木馬がAndroidデバイスユーザーを脅かしました。下旬には、マルウェア Android.Banker.180.origin の新たな亜種がDoctor Webのウイルスアナリストによって発見されています。これらの亜種は日本のユーザーをターゲットにした荷物追跡アプリ（「佐川急便」アプリなど）を装って拡散されていました。インストールされると、これらトロイの木馬は自身のアイコンを削除し、ユーザーから姿を隠します。

これら Android.Banker.180.origin の亜種は、ロシアのソーシャルネットワーク Vkontakte 内に特別に作成されたページを介してコントロールされています。そのページでは、「activities（アクティビティ）」フィールドでトロイの木馬のC&Cサーバーのうちの1つの暗号化されたアドレスが指定されています。トロイの木馬は正規表現を使用してこのフィールドを検索し、アドレスを復号化してサーバーに接続します。

これらのトロイの木馬の亜種は、ハッカーから受け取ったコマンドに応じてSMSを傍受または送信し、フィッシングウィンドウを表示し、通話を発信し、デバイスの内蔵マイクを使用して周囲の音声を聞くことができます。また、スマートフォンやタブレットを管理する機能も備えており、Wi-Fiをオンにしたり、モバイルネットワーク経由でインターネットに接続したり、画面をブロックしたりすることができます。

そのほか、 Android.DownLoader ファミリーに属する Android.DownLoader.4303 などの新たなダウンローダがモバイルデバイス上にAndroid版バンカーをダウンロードしていました。それらは金融機関のアプリケーションを装って拡散されていました。

Google Play上のトロイの木馬

ダウンローダのほか、 Android.Click.303.origin や Android.Click.304.origin などのトロイの木馬がGoogle Play上で検出されています。これらのトロイの木馬はゲームやテレビ番組を見るためのプログラムなど、無害なアプリケーションを装って拡散されていました。Doctor Webのウイルスアナリストによって、これらトロイの木馬36個が検出されています。15万1,000人を超えるユーザーがそれらをインストールしています。

これら悪意のあるソフトウェアは複数の WebView で隠れたアクティビティを開きます。それらの1つにはコマンドを取得するためのWebサイトがロードされ、その他の WebView はハッカーがユーザーのアクションを模倣するための様々なJavaスクリプトや指定されたサイトをロードするために使用されます。ハッカーはそれらのサイト上でリンクやバナー広告をクリックすることによりクリック数を増加させます。また、被害者の携帯電話会社が Wap-Click テクノロジーをサポートしている場合は、特別なボタンをクリックすることでユーザーを有料サービスに登録させることもできます。これらトロイの木馬は自身のアイコンをOSのメイン画面から隠すことで、その削除を困難にします。

4月下旬、 Android.PWS.Instagram.4 と Android.PWS.Instagram.5 がDr.Webのウイルスデータベースに追加されました。これらトロイの木馬は、いいねとフォロワーを増やしたり、アカウントのセキュリティを強化したりするためのものなど、インスタグラムのユーザーにとって便利なプログラムを装って拡散されていました。起動されると、トロイの木馬はログインとパスワードを入力するようユーザーに要求し、それらのデータを犯罪者のサーバーに送信します。

その他の脅威

トロイの木馬 Android.FakeApp.2.origin もまた、4月にAndroidスマートフォンやタブレットのユーザーを脅かした悪意のあるアプリの1つです。このトロイの木馬はインドのサービスプロバイダーJioのユーザーに対して25GBの無料インターネット通信を提供するというプログラムに隠されていました。

感染数を増やすため、このトロイの木馬は感染させたデバイスのすべての連絡先に、トロイの木馬のコピーのダウンロードページへのリンクを含んだSMSを送信していました。 Android.FakeApp.2.origin の主な目的はバナー広告を表示させることです。

トロイの木馬は悪意のあるサイトのみでなく、公式のGoogle Playストアからも拡散され、Androidデバイスのユーザーを脅かしています。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。

Your Android needs protection.

Use Dr.Web

• The first Russian anti-virus for Android
• Over 140 million downloads—just from Google Play
• Available free of charge for users of Dr.Web home products

Free download

2019年4月12日

株式会社Doctor Web Pacific

Doctor Webのリサーチャーはこの度、良く知られた動画編集ソフトウェアであるVSDCの公式サイトが侵害されていることを発見しました。ハッカーはサイト上のダウンロードリンクをハイジャックし、動画編集ソフトウェアと一緒に危険なトロイの木馬である Win32.Bolik.2 と Trojan.PWS.Stealer （KPOT Stealer）が訪問者のデバイス上にダウンロードされるようにしています。

VSDCは動画や音声を編集するための人気の無料ソフトウェアです。 SimilarWeb の統計によると、毎月130万人近いユーザーがVSDCのサイトを訪問しています。しかしながら、サイトの開発者によるセキュリティ対策はこのような大きなトラフィック量に対するものとては不十分であり、多くのユーザーが危険にさらされています。

昨年、未知のハッカーがVSDCサイトの管理機能にアクセスし、ダウンロードリンクを置き換えました。その結果、ユーザーは編集ソフトウェアの代わりに JavaScript ファイルを受け取り、続けてその JavaScript により AZORult Stealer、 X-Key Keylogger、 DarkVNC バックドアがダウンロードされていました。VSDCチームは脆弱性を解決したと公表しましたが、最近になって、VSDCサイト経由で感染する新たなケースが報告されています。

Doctor Webのリサーチャーによると、VSDC開発者のコンピューターは最初の侵入が発生してから何度か侵害されており、そのハッキングの結果、2019年2月21日から3月23日の間にサイトが再度侵害されているものとみられます。今回、ハッカーたちはマルウェアを拡散させるために前回とは異なる手法を用いています。悪意のある JavaScript コードをVSDCサイト内に埋め込むというものです。このコードの役割は訪問者の位置情報を取得して、英国、米国、カナダ、オーストラリアのユーザーのダウンロードリンクを置き換えることです。VSDCサイトの元のリンクは別の感染したサイトへのリンクに置き換えられます：

• https://thedoctorwithin[.]com/video_editor_x64.exe
• https://thedoctorwithin[.]com/video_editor_x32.exe
• https://thedoctorwithin[.]com/video_converter.exe

感染したサイトからソフトウェアをダウンロードしたユーザーは危険なバンキング型トロイの木馬 Win32.Bolik.2 も一緒に受け取ります。その前身である Win32.Bolik.1 と同様、このトロイの木馬はマルチコンポーネントなポリモーフィック型ファイルウイルスとしての特徴を備えています。このトロイの木馬のファミリーは、Webインジェクション、トラフィックの横取り、キーロギングを実行し、さまざまな銀行クライアントシステムから情報を盗むよう設計されています。現時点で、Doctor Webでは videosoftdev.com サイト経由でこのトロイの木馬に感染した少なくとも565件のケースについて情報を入手しています。これまでのところ、このトロイの木馬のすべてのコンポーネントを検出することができるのはDr.Web製品のみとなっています。

2019年3月22日には、ハッカーはトロイの木馬 Win32.Bolik.2 を別のマルウェアである KPOT Stealer （Trojan.PWS.Stealerの亜種）に変更しています。このトロイの木馬はブラウザやMicrosoftアカウント、複数のメッセンジャー、その他いくつかのプログラムから情報を盗みます。わずか1日で83人のユーザーがこのトロイの木馬をダウンロードしています。

この脅威についてVSDCの開発者に対して報告が行われ、現在、ダウンロードリンクは元のリンクに戻されています。用心のため、VSDCユーザーの方はDr.Webアンチウイルスを使用してデバイスをスキャンすることをお勧めします。

Indicators of compromise (英語)

#banker #banking_trojan #virus

2019年3月22日

株式会社Doctor Web Pacific

本記事は、Androidデバイスのユーザーを標的とするバンキング型トロイの木馬 Flexnet について報告するものです。このマルウェアはキャッシュカードのみでなく、モバイルデバイスのアカウントからも金銭を盗みます。犯罪者は、オンラインゲーム、Webホスティングサービスやその他のサービスへの支払いに Flexnet を利用しています。

Flexnetは、2015年にDoctor Webによる調査が行われた「GM Bot」トロイの木馬を元に作成されています。この悪意のあるアプリケーションのソースコードは2016年に公開され、その後間もなくして Flexnet の最初のバージョンが登場しました。このトロイの木馬を使用したAndroidモバイルデバイスに対する攻撃は今日に至るまで続いています。

トロイの木馬 Flexnet はDrug Vokrug（デート・チャットアプリ）、GTA V、インスタグラムや VKontakte のアカウントプロモーション用ツール、その他のソフトウェアを装い、スパムメールによって拡散されています。メッセージは、リンクを辿りプログラムやゲームをダウンロードするようユーザーに促すものとなっています。

図1. トロイの木馬によって使用されるソフトウェアアイコンの例

起動されると、このトロイの木馬は標準ダイアログボックスを表示させ、管理者権限を要求します。ユーザーが権限を与えてしまうと、トロイの木馬は偽のエラーメッセージを表示させ、自身のアイコンをホーム画面から削除します。こうすることでユーザーに気づかれないよう身を隠し、削除されるのを防ぎます。

図2～3. 管理者権限の要求と偽のエラーメッセージ

今日のAndroid版バンキング型トロイの木馬に比べると、 Flexnet の持つ機能はごく限られたものとなっています。このトロイの木馬はテキストメッセージを横取りし、USSD要求を実行することができますが、これらはさまざまな詐欺手法を使用して金銭を盗むのに十分な機能です。

そのような手法の1つが、SMSを利用して、人気のコンピューターゲームのゲーム内アカウントに入金補充させるというものです。まず、トロイの木馬はユーザーのキャッシュカード残高を確認するために、モバイルバンキングサービスシステムにSMSを送信します。そして、残高の記載された返信メッセージを横取りし、その情報をサイバー犯罪者に送信します。次に、犯罪者はゲームのアカウント残高を補充するようユーザーに要求しますが、その際、ユーザーの電話番号と送金額を提示します。ユーザーが確認コードの含まれたSMSメッセージを受け取ると、トロイの木馬はそれを横取りし、内容をサイバー犯罪者に送信します。そして最後に、その確認コードを送信して送金を確定するよう指示するコマンドが犯罪者からトロイの木馬に送られます。

以下は、この手法を用いてどのように金銭を盗むのかを示した例です。

図4. Wargamingアカウントの残高補充。トロイの木馬は銀行のビリングシステムからのメッセージを横取りし、サイバー犯罪者からのコマンドに従って、2,475ルーブルの送金を確定する確認コードを含んだ返信を送る。

その他の詐欺行為も似たような方法で行われています。たとえば、サイバー犯罪者は被害者のモバイルアカウントのお金をホスティングサービスの支払いに使用することができます。この場合、トロイの木馬は必要なパラメータを含んだSMSメッセージを標的となる電話番号に対して送信します。以下はその例です。

図5. トロイの木馬は、 jino.ru ホスティングサービスに送金金額（299ルーブルと1,000ルーブル）とアカウント名をテキストで送り、サイバー犯罪者の残高を補充。

被害者の口座に十分な残高がない場合でも、犯罪者は携帯電話会社の提供するクレジットによる支払方法を利用して金銭を盗むことが可能です。その場合も、トロイの木馬は必要なパラメータを含んだSMSメッセージを送信します。疑わしいメッセージはすべてトロイの木馬によって隠されてしまうため、感染したデバイスのユーザーはお金を盗まれたことにしばらくの間気が付きません。

図6. 犯罪者はMy.comサービスの支払いを試みるが、被害者のモバイルクレジットの残高が足りない。犯罪者はクレジットによる支払方法を使用して送金を成功させるよう指示するコマンドをトロイの木馬に送信。デバイスのユーザーには借金が残る。

さらに、このトロイの木馬は被害者のキャッシュカードからサイバー犯罪者の口座に送金を行うことができます。ただし、金融機関は特別なアルゴリズムを使用して疑わしい取引を追跡しているため、そのような送金はブロックされる可能性が極めて高いといえます。一方で、前述の手法では、犯罪者は比較的少額の金銭を長期にわたって気づかれずに盗むことが可能です。

Flexnetのもう1つの特徴は機密情報を盗むというものです。サイバー犯罪者はソーシャルメディアやオンラインストア、携帯電話会社のWebサイト、その他のオンラインサービスに登録されているユーザーのアカウントへのアクセスを取得することができます。まず、被害者の携帯電話番号を入手した犯罪者は、そのアカウントへのログインを試みます。次に、サービスから送られてくるワンタイム確認コードをトロイの木馬が横取りし、犯罪者に送信します。

図7. トロイの木馬によって横取りされた、さまざまなサービスのワンタイムアクセスコードを含んだテキスト

感染したデバイスのユーザーの電話番号が、標的となるサービスに登録されていなかった場合でも、サイバー犯罪者は新しいアカウントの登録にそれらの番号を使用することができます。新しく作成された、侵害されたこれらのアカウントは後にブラックマーケットに流れ、スパムの送信やフィッシング攻撃に利用される可能性があります。

ドメイン名レジストラREG.ruの協力により Flexnet のC&Cサーバーのいくつかがブロックされ、現在、サイバー犯罪者は感染したデバイスの一部をコントロールすることができなくなっています。

Androidデバイスのユーザーには、ソフトウェアやゲームはGoogle Playなどの信頼できる提供元からのみインストールするようにすることが推奨されます。他のユーザーによるレビューに気を付けるようにし、信頼できる開発元のソフトウェアのみをインストールするようにしてください。

Dr.Web for Androidは Flexnet のすべての既知の亜種を Android.ZBot ファミリーの一部として検出し、それらをデバイスから削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。

#Android, #banking_Trojan, #two_factor_authentication