ウイルスデータベース
11.15 2019年10月のウイルスレビュー
2019年11月15日
株式会社Doctor Web Pacific
Dr.Webサーバーの統計によると、10月には9月と比較して検出された脅威の合計数に増加が見られました。一方で、ユニークな脅威の数は6.86%減少しています。メールトラフィック内では、Microsoft Officeドキュメントの脆弱性を悪用する脅威とフィッシングニュースレターが多く検出されました。マルウェアや不要なソフトウェアのうち最も多く検出されたものはパスワードを盗むトロイの木馬でしたが、依然として脅威の多くをアドウェアが占めています。
10月の主な傾向
- ユニークなマルウェアの拡散活動が減少
- 暗号化ランサムウェアの活動が増加
Doctor Web統計サーバーによる統計
10月の脅威:
- Trojan.PWS.Siggen2.34629
- パスワードを盗むよう設計されたトロイの木馬です。
- Adware.Elemental.14
- リンクを置き換えることによってファイル共有サービスからダウンロードされるアドウェアです。ユーザーは通常のファイルの代わりに、迷惑な広告を表示させ、不要なソフトウェアをインストールするアプリケーションを受け取ります。
- Adware.SweetLabs.2
- Adware.Opencandyの作成者による、Windows GUIの代替アプリケーションストアとアドオンです。
- Adware.Softobase.15
- 古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。
- Adware.Ubar.13
- デバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。
- Trojan.InstallCore.3553
- また別の悪名高いアドウェアインストーラです。広告バナーを表示させ、ユーザーの許可なしにソフトウェアをインストールします。
メールトラフィック内で検出された脅威の統計
- Exploit.Rtf.CVE2012-0158
- 改変されたMicrosoft Officeドキュメントで、悪意のあるコードを実行するために脆弱性CVE2012-0158を悪用します。
- W97M.DownLoader.2938
- オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬ファミリーです。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。
- PDF.Phisher.115
- フィッシングニュースレターで使用されるPDFドキュメントです。
- Exploit.ShellCode.69
- CVE-2017-11882と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。
- Trojan.PWS.Siggen2.34629
- パスワードを盗むよう設計されたトロイの木馬です。
- Trojan.PWS.Stealer.19347
- 感染したコンピューターに保存されているパスワードやその他の機密情報を盗むように設計されたトロイの木馬のファミリーです。
暗号化ランサムウェア
10月に最も多かった問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした:
- Trojan.Encoder.858 — 16.34%
- Trojan.Encoder.10700 — 6.27%
- Trojan.Encoder.29750 — 2.81%
- Trojan.Encoder.11539 — 2.64%
- Trojan.Encoder.25574 — 2.64%
- ACCDFISA v2 — 2.48%
- Trojan.Encoder.11464 — 2.15%
Dr.Web Security Space for Windows 暗号化ランサムウェアに対する保護
危険なWebサイト
2019年10月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は254,849件となっています。
| 2019年9月 | 2019年10月 | 推移 |
|---|---|---|
| + 238 637 | + 254 849 | + 6.79% |
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
10月には、Doctor WebのウイルスアナリストによってGoogle Play上で複数の脅威が発見されています。それらの中にはユーザーを有料サービスに登録させる Android.Click ファミリーに属するクリッカー型トロイの木馬が含まれていました。また、受信するSMSメッセージを傍受するアドウェア型トロイの木馬 Android.HiddenAds やマルウェア Android.SmsSpy も拡散されています。そのほか10月には Android.Joker ファミリーに属するトロイの木馬の新たな亜種も発見されました。これらトロイの木馬はサイバー犯罪者からのコマンドに従って任意のコードを実行し、ユーザーを密かに高額なモバイルサービスに登録させます。
10月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。
- Google Playから活発に拡散されるマルウェア
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。
Dr.Webと一緒にもっと学びましょう
11.14 2019年10月のモバイルマルウェアレビュー
2019年11月14日
株式会社Doctor Web Pacific
秋2番目の月はAndroidユーザーにとって波乱に満ちた月となりました。ユーザーを有料サービスに登録させるクリッカー型トロイの木馬 Android.Click などの悪意のあるアプリケーションが多数、Google Play上で発見されています。発見された脅威の中には、同じくユーザーを高額なサービスに登録させ、任意のコードを実行することのできる Android.Joker ファミリーに属する悪意のあるアプリケーションも含まれていました。また、その他のトロイの木馬もDoctor Webのエキスパートによって発見されています。
10月の主な傾向
- Google Playから拡散される脅威の数が増加
10月のモバイル脅威
10月中旬、Doctor Webは Android.Click.322.origin、 Android.Click.323.origin、 Android.Click.324.originとしてDr.Webウイルスデータベースに追加されたクリッカー型トロイの木馬について記事を公表しました。これら悪意のあるアプリケーションは密かにWebサイトを開き、そこでユーザーを自動的に有料サービスに登録させます。このトロイの木馬は以下の特徴を備えています。
- 無害なアプリケーションに組み込まれている
- 市販のパッカーによって保護されている
- 良く知られたSDKを装っている
- 特定の国のユーザーのみを攻撃対象としている
10月を通して、これらクリッカーのさらなる亜種である Android.Click.791、 Android.Click.800、 Android.Click.802、 Android.Click.808、 Android.Click.839、 Android.Click.841がDoctor Webのウイルスアナリストによって検出されています。さらに、それらとよく似た悪意のあるアプリケーションが発見され、 Android.Click.329.origin、 Android.Click.328.origin、 Android.Click.844と名付けられました。これらトロイの木馬もユーザーを有料サービスに登録させますが、別のウイルス開発者によって作成されたものである可能性があります。これらのクリッカーはカメラアプリやフォトエディタ、壁紙集などの一見無害なプログラムに潜んでいました。
Dr.Web for Androidによる統計
- Android.HiddenAds.472.origin
- 迷惑な広告を表示させるトロイの木馬です。
- Android.RemoteCode.5564
- 任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスを犯罪者がコントロールすることを可能にするトロイの木馬です。
- Android.DownLoader.677.origin
- 別のマルウェアをダウンロードするトロイの木馬です。
- Android.Triada.465.origin
- 様々な悪意のある動作を実行する多機能なトロイの木馬です。
- Program.FakeAntiVirus.2.origin
アンチウイルスソフトウェアを模倣するアドウェアです。 - Program.MonitorMinor.1.origin
- Program.MobileTool.2.origin
- Program.FreeAndroidSpy.1.origin
- Program.SpyPhone.4.origin
Androidユーザーを監視するスパイウェアです。サイバースパイ行為に使用される可能性があります。
- Tool.SilentInstaller.6.origin
- Tool.SilentInstaller.7.origin
- Tool.SilentInstaller.11.origin
- Tool.VirtualApk.1.origin
アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。 - Tool.Rooter.3
Androidデバイスのルート権限を取得するよう設計されたユーティリティです。サイバー犯罪者やマルウェアによって使用される可能性があります。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュール:
- Adware.Patacore.253
- Adware.Myteam.2.origin
- Adware.Toofan.1.origin
- Adware.Adpush.6547
- Adware.Altamob.1.origin
Google Play上のトロイの木馬
Google Play 上ではクリッカー型トロイの木馬に加え、 Android.Joker ファミリーに属する既知のマルウェアの亜種が複数、Doctor Web のウイルスアナリストによって発見されています。それらの中には Android.Joker.6、 Android.Joker.7、 Android.Joker.8、 Android.Joker.9、 Android.Joker.12、 Android.Joker.18、 Android.Joker.20.originが含まれていました。これらトロイの木馬は、任意のコードを実行してユーザーを高額なモバイルサービスに登録させるための悪意のある追加モジュールをダウンロードし、起動させます。いずれも、壁紙集、アートフィルター付きカメラアプリ、さまざまなユーティリティ、フォトエディタ、ゲーム、インスタントメッセンジャーなどの便利で無害なプログラムを装って拡散されています。
また、 Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬の新たな亜種も発見され、 Android.HiddenAds.477.origin と名付けられました。このトロイの木馬は動画プレイヤーや通話に関する情報を提供するアプリケーションを装って拡散されていました。起動されると、Androidホーム画面から自身のアイコンを隠し、迷惑な広告を表示させます。
そのほか、トロイの木馬 Android.SmsSpy.10437 と Android.SmsSpy.10447 がDr.Webのウイルスデータベースに追加されています。これらトロイの木馬は画像集やカメラアプリに潜み、受信するSMSメッセージの内容を傍受します。 Android.SmsSpy.10437 はC&Cサーバーからダウンロードした任意のコードを実行することもできます。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
10.18 ユーザーを有料サービスに登録させるAndroid向けクリッカー
2019年10月18日
株式会社Doctor Web Pacific
ウイルスアナリストは Android.Click.322.origin、 Android.Click.323.origin、 Android.Click.324.origin と名付けられた、この悪意のあるコードの複数の亜種を特定しました。本来の目的を隠すため、また、トロイの木馬の検出を困難にするため、サイバー犯罪者はいくつかの手段を用いています。まず、クリッカーをカメラアプリや画像集などの無害なアプリケーション内に組み込み、そして実際にそれらのアプリケーションとして機能するようにしています。その結果、ユーザーや情報セキュリティエキスパートはそれらを明確に脅威であると判断することができません。
さらに、これらのマルウェアはすべて市販のJiaguパッカーによって保護されており、それにより、アンチウイルスソフトウェアによるマルウェアの検出やコード分析を困難にしています。こうして、トロイの木馬はGoogle Playに組み込まれたセキュリティツールによる検出を高確率で回避しています。
また、ウイルス開発者は良く知られた広告ライブラリや分析ライブラリを装ってこのトロイの木馬を拡散させています。ホストソフトウェアに追加された後、トロイの木馬は自身をFacebookやAdjust SDKに埋め込み、それらのコンポーネントに紛れ込みます。
このクリッカーは特定の国のユーザーのみを攻撃対象としています。ユーザーがそれらの国に居住していない場合は悪意のある動作を実行しません。
以下は、このトロイの木馬を含んでいるアプリケーションの例です。
インストールされて起動されると、クリッカー(ここでは、例として亜種である Android.Click.322.origin を取り上げます)はOSの通知へのアクセスを許可するようユーザーに求めます。
ユーザーが許可を与えると、トロイの木馬は受信するテキストメッセージに関するすべての通知を隠し、それらメッセージを傍受することができるようになります。
次に、クリッカーは感染したデバイスに関する技術的データをC&Cサーバーに送信し、SIMカードのシリアル番号を確認します。それが攻撃対象とする国のものであった場合、 Android.Click.322.origin は電話番号に関する情報をサーバーに送信します。同時に、特定の国のユーザーに対してフィッシングウィンドウを表示し、電話番号を入力するか、Googleアカウントにログインするよう促します。
ユーザーのSIMカードが、攻撃対象とする国で登録されたものではない場合、トロイの木馬はいずれのアクションも実行せず、悪意のある活動を停止します。攻撃対象となっているのは以下の国のユーザーです。
- オーストリア
- イタリア
- フランス
- タイ
- マレーシア
- ドイツ
- カタール
- ポーランド
- ギリシャ
- アイルランド
電話番号を送信した後、 Android.Click.322.origin はC&Cサーバーからのコマンドを待ちます。C&Cサーバーから送信されるコマンドには、ロードするWebサイトのアドレスとJavaScriptコードが含まれています。このコードはJavascriptInterface経由でクリッカーをコントロールし、デバイス上にポップアップ通知を表示させ、Webページ上でクリックを実行し、さらにその他の動作も行います。
Webサイトのアドレスを受け取ると、 Android.Click.322.origin はそれを非表示のWebViewで開き、そのページにJavaScriptコードとクリック用のパラメータをロードします。有料サービスのWebサイトを開いた後、トロイの木馬は該当するリンクやボタンを自動的にクリックします。次に、SMSメッセージから確認コードを傍受し、ユーザーの操作なしに登録を完了させます。
このクリッカーは設計上SMSにアクセスすることはできませんが、次のような方法でその制限をすり抜けています。まず、トロイの木馬のサービスがSMSを処理するデフォルトアプリケーションからの通知を監視します。メッセージを受信すると、サービスはシステム通知を隠し、受信したSMSに関する情報をそれらの通知から抽出して、トロイの木馬のブロードキャストレシーバに送信します。その結果、ユーザーには受信したSMSに関する通知が表示されず、何が起こっているのかを知ることができません。口座からお金が引き落とされて、またはメッセージメニューを開き有料サービスに関するテキストを目にして初めて、ユーザーは自分が登録されていることに気が付きます。
Doctor Webでは検出された悪意のあるアプリケーションについてGoogle社に報告を行い、それらはGoogle Playから削除されました。このクリッカーの既知の亜種はすべてDr.Web for Androidによって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Android.Click.322.originの詳細(英語)
#Android, #Google_Play, #clicker, #paid_subscription
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
10.11 2019年9月のウイルスレビュー
2019年10月11日
株式会社Doctor Web Pacific
Dr.Webサーバーの統計によると、9月には8月と比較して検出された脅威の合計数に19.96%の増加が見られました。一方で、ユニークな脅威の数は50.45%減少しています。ユーザーを脅かした脅威の多くをアドウェア、ソフトウェアのダウンローダやインストーラが占めていました。メールトラフィック内では、依然としてMicrosoft Officeドキュメントの脆弱性を悪用する脅威が多く検出されています。
Doctor Webテクニカルサポートサービスに寄せられたデータ復号化のリクエストは増加し、最も多く検出されたランサムウェアは Trojan.Encoder.858 でリクエスト全体の16.60%を占めていました。また、非推奨サイトおよび悪意のあるサイトのデータベースには、8月に比べてほぼ2倍となる数のインターネットアドレスが追加されています。
9月の主な傾向
- 暗号化ランサムウェアによる攻撃を受けるユーザー数が増加
- 広告を表示するトロイの木馬とアドウェアが依然として最も多く検出される脅威となる
Doctor Web統計サーバーによる統計
9月に最も多く検出された脅威
- Adware.SweetLabs.1
- Adware.SweetLabs.2
- Adware.Opencandyの作成者による、Windows GUIの代替アプリケーションストアとアドオンです。
- Adware.Elemental.14
- リンクを置き換えることによってファイル共有サービスからダウンロードされるアドウェアです。ユーザーは通常のファイルの代わりに、迷惑な広告を表示させ、不要なソフトウェアをインストールするアプリケーションを受け取ります。
- Adware.Softobase.15
- 古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。
- Adware.Ubar.13
- ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。
メールトラフィック内で検出された脅威の統計
- Exploit.Rtf.CVE2012-0158
- 改変されたMicrosoft Officeドキュメントで、悪意のあるコードを実行するために脆弱性 CVE2012-0158 を悪用します。
- Trojan.SpyBot.699
- キーボードで入力された文字を盗むスパイウェア型トロイの木馬(キーロガー)です。
- W97M.DownLoader.2938
- オフィスアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬ファミリーです。感染させたコンピューター上に別の悪意のあるプログラムをダウンロードします。
- PDF.DownLoader.57 (新しい脅威)
- 特別に生成されたPDFドキュメントによって拡散されるダウンローダ型トロイの木馬のファミリーに属するトロイの木馬です。
- Exploit.ShellCode.69
- CVE-2017-11882 と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。
暗号化ランサムウェア
9月には8月と比較して、暗号化ランサムウェアに感染したユーザーからDoctor Webテクニカルサポートサービスに寄せられるデータ復号化のリクエストが14.59%増加しました。
最も多かった問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした:
- Trojan.Encoder.858 — 16.60%
- Trojan.Encoder.11464 — 6.93%
- Trojan.Encoder.11539 — 5.04%
- Trojan.Encoder.25574 — 2.94%
- Trojan.Encoder.10700 — 2.52%
- Trojan.Encoder.567 — 1.89%
- Trojan.Encoder.24383 — 1.47%
Dr.Web Security Space for Windows 暗号化ランサムウェアに対する保護
危険なWebサイト
2019年9月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は238,637件となっています。
| 2019年8月 | 2019年9月 | 推移 |
|---|---|---|
| + 204,551 | + 238,637 | + 16.66% |
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
9月には、Google Play上で多くのマルウェアが検出されました。初旬にはブラジルのユーザーを標的としたバンキング型トロイの木馬 Android.Banker.347.origin が発見されています。このトロイの木馬は確認コードを含んだSMSメッセージを傍受し、犯罪者からのコマンドに従って不正なサイトを開くことができます。9月下旬には Android.Banker.352.origin と名付けられたまた別のバンキング型トロイの木馬が発見されました。このトロイの木馬は仮想通貨取引所 YoBit(ヨービット)のユーザーから認証情報を盗みます。
Google Playからは、悪意のあるアプリケーションをダウンロードするダウンローダ型トロイの木馬 Android.DownLoader.920.origin と Android.DownLoader.921.origin も拡散されていました。また、アドウェア型トロイの木馬 Android.HiddenAds のほか、 Android.Joker ファミリーに属するトロイの木馬の亜種も複数発見されています。 Android.Joker はユーザーを高額なサービスに登録させ、SMSを傍受し、感染したデバイスの電話帳のデータをサイバー犯罪者に送信します。さらに、補助モジュールをダウンロードして起動させ、任意のコードを実行することもできます。
そのほか、サイバースパイ行為を行うよう設計されたリスクウェアの新たなバージョンがDoctor Webのウイルスアナリストによって発見されています。
9月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。
- Google Playから拡散されるマルウェア
- スパイウェアの新たなバージョンを発見
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。
Dr.Webと一緒にもっと学びましょう
10.10 2019年9月のモバイルマルウェアレビュー
2019年10月10日
株式会社Doctor Web Pacific
9月、Androidデバイスのユーザーはさまざまなマルウェアに脅かされました。それらの多くがGoogle Playから拡散され、その中にはダウンローダー Android.DownLoader 、バンキング型トロイの木馬 Android.Banker 、アドウェア型トロイの木馬 Android.HiddenAds が含まれていました。また、 Program.Panspy.1.origin 、 Program.RealtimeSpy.1.origin 、 Program.MonitorMinor などの、ユーザーをスパイするよう設計された潜在的に危険なアプリケーションの新しいバージョンがDoctor Webのエキスパートによっていくつか発見されています。
9月の主な傾向
- 引き続きGoogle Playから拡散され続ける悪意のあるアプリケーションや不要なアプリケーション
- 依然としてユーザーを脅かすスパイウェア
9月のモバイル脅威
9月に検出されたマルウェアの1つに、バンキング型トロイの木馬 Android.Banker.352.origin があります。このトロイの木馬は仮想通貨取引所 YoBit (ヨービット)の公式アプリケーションを装って拡散されていました。
起動されると、 Android.Banker.352.origin は偽のログインウィンドウを表示させ、入力された認証情報を盗みます。その後、サービスを一時的に利用できない旨のメッセージを表示させます。
このトロイの木馬はSMSメッセージから2段階認証コードを盗み、Eメールメッセージからアクセスコードを盗みます。また、さまざまなインスタントメッセンジャーやメールクライアントの通知を傍受し、ブロックします。盗んだデータはすべて Firebase Database に保存されます。
Dr.Web for Androidによる統計
- Android.RemoteCode.6122
- Android.RemoteCode.5564
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
- Android.HiddenAds.455.origin
- Android.HiddenAds.472.origin (新しい脅威)
- モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスを犯罪者がコントロールすることを可能にするトロイの木馬です。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュール:
- Adware.Patacore.253
- Adware.Gexin.3.origin
- Adware.Zeus.1
- Adware.Altamob.1.origin
ユーザーの介入なしに密かにアプリケーションを起動させるリスクウェア:
- Tool.SilentInstaller.6.origin
Google Play上の脅威
9月にはバンキング型トロイの木馬 Android.Banker.352.origin のほかに、ブラジルの金融サービス機関利用者を標的としたマルウェア Android.Banker.347.origin もGoogle Play上で発見されています。このトロイの木馬は、これまでにもDoctor Webの記事で紹介したバンキング型トロイの木馬 Android.BankBot.495.origin や Android.Banker.346.origin などの亜種です。
Android.Banker.347.origin は家族の居場所を確認するためのプログラムを装ってGoogle Playから拡散されていました。
このトロイの木馬はAndroidのアクセシビリティサービスを利用してSMSメッセージから確認コードやその他の機密データなどの情報を盗みます。また、これまでの亜種と同様、サイバー犯罪者からのコマンドに従ってフィッシングページを開くことができます。
Google Play上では、 Android.HiddenAds ファミリーに属する新たなアドウェア型トロイの木馬もいくつか発見されています。その1つである Android.HiddenAds.444.origin は無害なプログラムやゲームに隠されていました。起動されると、 Android.HiddenAds.444.origin は自身のアイコンを隠し、迷惑な広告バナーを表示します。また、C&Cサーバーからのコマンドに従ってAPKファイルをダウンロードし、それらをインストールしようと試みます。
発見されたその他のマルウェアに、 Android.DownLoader.920.origin や Android.DownLoader.921.origin などのダウンローダ型トロイの木馬があります。これらトロイの木馬はゲームを装って拡散され、サーバーからのコマンドに従って様々なソフトウェアや悪意のあるプログラムをダウンロードし、それらをインストールしようとします。
そのほか、9月には Android.Joker ファミリーに属するトロイの木馬の亜種が複数Google Play上で発見されています。これら悪意のあるアプリケーションは、カメラのプラグイン、写真編集ソフト、画像集、システムユーティリティなどの一見無害なプログラムに潜んでいました。
これらトロイの木馬は任意のコードを実行するほか、補助的なDEXファイルをロードして実行することもできます。また、プレミアムコンテンツを含むサイトをダウンロードして該当するリンクをクリックし、登録を完了させるための確認コードをSMSから盗むことで、ユーザーを自動的に高額なサービスに登録させます。そのほか、 Android.Joker は電話帳のデータをC&Cサーバーに送信します。
ユーザーを高額なサービスに登録させるまた別のトロイの木馬は Android.Click.781 および Android.Click.325.origin と名付けられました。これらトロイの木馬もまた、サイトをダウンロードしてユーザーを自動的にプレミアムサービスに登録させます。また、サーバーからのコマンドに従ってOSやその他のプログラムからの通知を傍受することができます。これらトロイの木馬はカメラアプリを装って拡散されていました。
スパイウェア
9月、Doctor Webのエキスパートは、Androidデバイスのユーザーをスパイするよう設計されたリスクウェアの新たなバージョンをいくつか発見しました。それらのプログラムには、 Program.Panspy.1.origin 、 Program.RealtimeSpy.1.origin 、 Program.MonitorMinor が含まれていました。これらのスパイウェアを使用することで、SMSメッセージや通話、インスタントメッセンジャーでのやり取りをコントロールし、デバイスの位置を追跡し、その他の機密情報を受信することが可能になります。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
10.04 ロシア連邦執行庁の偽サイトから拡散される危険なトロイの木馬
2019年10月8日
株式会社Doctor Web Pacific
この偽サイトは199.247.**.***で発見されました。元のサイトとほとんど同じように見えますが、公式サイトとは異なり一部のエレメントが正常に表示されません。
ユーザーがリンクをクリックするとAdobe Flash Playerの更新を促すページにリダイレクトされ、同時にユーザーのデバイスに.EXEファイルがダウンロードされます。ユーザーがそのファイルを実行すると、Trojan.DownLoader28.58809がインストールされます。
このトロイの木馬は、システムの自動実行リストに自身を追加し、C&Cサーバーに接続し、別の悪意のあるモジュールTrojan.Siggen8.50183をダウンロードします。さらにユーザーのデバイスには、メインの悪意のあるライブラリを実行するための、有効なMicrosoftのデジタル署名を持ったファイルがダウンロードされます。その後、Trojan.Siggen8.50183はユーザーのシステムに関する情報を収集し、それをC&Cサーバーに送信します。インストールされた後、トロイの木馬はユーザーのデバイス上で常にアクティブな状態になり、サーバーからのコマンドに応じてさまざまなアクションを実行することができるようになります。
ユーザーのデバイス上で起動されたトロイの木馬は、以下の動作を実行することができます。
- ディスクに関する情報を取得する
- 任意のファイルに関する情報を取得する
- 任意のフォルダに関する情報を取得する(ファイルの数、サブフォルダ、それらのサイズなど)
- 指定されたフォルダ内にあるファイルのリストを取得する
- ファイルを削除する
- フォルダを作成する
- ファイルを移動する
- プロセスを実行する
- プロセスを停止させる
- プロセスのリストを取得する
Doctor Webのデータによると、この偽サイトを使用した大規模なウイルスキャンペーンは現在のところ展開されていません。しかしながら、個々のユーザーや組織を狙った攻撃に使用される可能性があると考えられます。
これらトロイの木馬はいずれもDr.Web製品によって検出・削除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
09.11 2019年8月のウイルスレビュー
2019年9月11日
株式会社Doctor Web Pacific
Dr.Webサーバーの統計によると、8月には7月と比較して検出された脅威の合計数に21.28%の減少が見られました。ユニークな脅威の数もわずかに2.82%減少しています。メールトラフィック内では、Microsoft Officeドキュメントの脆弱性を悪用するマルウェアやダウンローダ型トロイの木馬が多く検出されています。7月と同様、検出されたマルウェアや不要なソフトウェアの多くをアドウェアが占めていました。
8月の主な傾向
- マルウェア拡散活動の減少
- 非推奨サイトや悪意のあるサイトの数が増加
- エンコーダの活動が増加
8月の脅威
8月、Doctor Webのリサーチャーは人気ソフトウェアの偽のWebサイトからハッカーによって拡散されている危険なバンキング型トロイの木馬を発見しました。これらWebサイトの1つは有名なVPNサービスのものを模倣し、他のサイトは企業のオフィスソフトウェアサイトを装っていました。
Doctor Web統計サーバーによる統計
8月の脅威
- Adware.Softobase.15
- 古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。
- Adware.Ubar.13
- ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。
- Trojan.Winlock.14244
- Windows OSとその機能へのユーザーのアクセスをブロックまたは制限するランサムウェア型トロイの木馬です。システムのブロックを解除するために、ユーザーはサイバー犯罪者に身代金を支払うよう要求されます。
- Trojan.InstallCore.3553
- また別の良く知られたアドウェアインストーラです。広告を表示させ、ユーザーの許可なしに追加のプログラムをインストールします。
メールトラフィック内で検出された脅威の統計
- Exploit.Rtf.CVE2012-0158
- 改変されたMicrosoft Officeドキュメントで、悪意のあるコードを実行するために脆弱性 CVE2012-0158 を悪用します。
- W97M.DownLoader.2938
- Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることができます。
- Exploit.ShellCode.69
- CVE-2017-11882 と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。
- Trojan.PWS.Stealer.19347
- 感染したコンピューターに保存されているパスワードやその他の機密情報を盗むように設計されたトロイの木馬のファミリーです。
暗号化ランサムウェア
2019年8月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした:
- Trojan.Encoder.858—17.73%
- Trojan.Encoder.11464—7.09%
- Trojan.Encoder.18000—4.96%
- Trojan.Encoder.28004—4.26%
- Trojan.Encoder.11539—2.60%
- Trojan.Encoder.25574—1.18%
- Trojan.Encoder.567—1.65%
Dr.Web Security Space for Windows 暗号化ランサムウェアに対する保護
危険なWebサイト
2019年8月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は204,551件となっています。
| 2019年7月 | 2019年8月 | 推移 |
|---|---|---|
| + 123,251 | + 204,551 | + 65.96% |
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
8月、Google Play上で複数の新たなマルウェアがDoctor Webのエキスパートによって発見されました。8月初旬には、C&Cサーバーから受け取ったコマンドに従ってリンクを開き、さまざまなWebサイトを開くトロイの木馬 Android.Click.312.origin がウイルスデータベースに追加されました。また、新たなアドウェア Android.HiddenAds や、別の悪意のあるアプリケーションをダウンロードすることのできるダウンローダ Android.DownLoader.915.origin も発見されています。
8月末にはブラジルのユーザーを攻撃するバンキング型トロイの木馬が発見されました。 Android.Banker.346.origin と名付けられたこのトロイの木馬はAndroidのAccessibility Serviceを使用してテキストメッセージを横取りすることができます。
8月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。
- Google Playから拡散されるマルウェア
- 新しい不要なアドウェアモジュール
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。
Dr.Webと一緒にもっと学びましょう
09.10 2019年8月のモバイルマルウェアレビュー
2019年9月10日
株式会社Doctor Web Pacific
夏最後の月となる8月、Doctor Webのウイルスアナリストは無害なアプリケーションに組み込まれたクリッカー型トロイの木馬 Android.Click.312.origin をGoogle Play上で検出しました。また、ダウンローダー型トロイの木馬 Android.DownLoader.915.origin や便利なソフトウェアを装って拡散される Android.HiddenAds ファミリーに属するアドウェア型トロイの木馬、バンキング型トロイの木馬 Android.Banker.346.origin など、その他の悪意のあるソフトウェアも検出されています。
8月の主な傾向
- Google Play上で新たなマルウェアを検出
- 新たなアドウェアモジュールの登場
8月のモバイル脅威
8月上旬、Doctor Webは34個のGoogle Playアプリケーションで検出されたトロイの木馬 Android.Click.312.origin について記事を公表しました。この Android.Click.312.origin は、開発者によってソフトウェアに組み込まれた悪意のあるモジュールでした。合計で1億170万人を超えるユーザーが、このトロイの木馬の含まれたソフトウェアをダウンロードしています。
Android.Click.312.origin はC&Cサーバーから受け取ったコマンドに従って非表示のWebViewでリンクを開きます。また、ブラウザ上でWebサイトを開き、Google Play上にアプリケーションの広告を表示させることができます。 Android.Click.312.origin には次のような特徴があります。
- 起動から8時間経過した後に動作を開始する
- 一部の機能はリフレクションを使用して実行される
- WAP-Clickを使用してユーザーを有料モバイルサービスに登録させることができる
Android.Click.312.origin に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.HiddenAds.455.origin
- モバイルデバイス上に迷惑な広告を表示させるトロイの木馬です。
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスを犯罪者がコントロールすることを可能にするトロイの木馬です。
- Android.Triada.467.origin
- 様々な悪意のある動作を実行するマルチ機能なトロイの木馬です。
- Android.RemoteCode.197.origin
- Android.RemoteCode.5564
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュール:
- Adware.Gexin.3.origin
- Adware.Patacore.253
- Adware.Zeus.1
- Adware.Altamob.1.origin
- Adware.Myteam.2.origin (a new threat)
Google Play上の脅威
Google Play上では、クリッカー Android.Click.312.origin のほかにダウンローダ型トロイの木馬 Android.DownLoader.915.origin も検出されています。VPNクライアントとして拡散されていたこのトロイの木馬は、アプリケーションをダウンロードしてインストールしようと試み、 Instagram や Telegram、 Google PlayのWebページのほか、犯罪者によって指定されたサービスを開きます。
また、 Android.HiddenAds.1598 や Android.HiddenAds.467.origin などの、 Android.HiddenAds ファミリーに属する新たなアドウェア型トロイの木馬も発見されました。このファミリーに属する他のトロイの木馬と同様、これらトロイの木馬も自身のアイコンを隠し、迷惑な広告を表示させます。
8月末には、ブラジルのAndroidユーザーを攻撃するバンキング型トロイの木馬がDoctor Webのエキスパートによって発見されました。 Android.Banker.346.origin と名付けられたこのマルウェアは、これまでに報告された同種のトロイの木馬と同様(2018年末に報告された例はこちらをご覧ください)、トランザクション認証コードやその他の機密情報を含む可能性のあるテキストメッセージから情報を盗むためにAndroid Accessibility Serviceを使用します。また、このトロイの木馬はサイバー犯罪者から受け取ったコマンドに応じてフィッシングページを開きます。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
08.19 NordVPNアプリを装って拡散されるバンキング型トロイの木馬Bolik
2019年8月20日
株式会社Doctor Web Pacific
この度、有名なVPNサービスであるNordVPNの公式サイトを模倣したサイト(nord-vpn[.]club)がDoctor Webのリサーチャーによって発見されました。このサイトでは、公式サイトと同様にVPNを使用するためのプログラムをダウンロードするようユーザーに促しますが、そのプログラムと一緒に危険なバンキング型トロイの木馬 Win32.Bolik.2 が拡散されています。
偽のサイトは本物のサイトと同じデザインで似たようなドメイン名を持ち、有効なSSL証明書を持っています。
Doctor Webのデータによると、これらの偽のWebサイトを使用したマルウェアキャンペーンは主に英語圏のユーザーを対象としており、2019年8月8日に開始されました。本記事掲載時点で、偽のNordVPNサイトの訪問数は既に数万件にのぼっています。
また、2019年6月末には同じハッカーグループによってオフィスプログラムの偽サイト invoicesoftware360[.]xyz (本物は invoicesoftware360[.]com )と clipoffice[.]xyz (本物は crystaloffice[.]com )が設置され、それらのサイトからは Win32.Bolik.2 と一緒に Trojan.PWS.Stealer.26645 が拡散されています。
トロイの木馬 Win32.Bolik.2 は Win32.Bolik.1 の改良版であり、マルチコンポーネントなポリモーフィック型ファイルウイルスとしての特性を備えています。このマルウェアを使用することで、ハッカーはWebインジェクションを実行し、トラフィックを横取りし、キーロギングを実行し、さまざまな銀行クライアントシステムから情報を盗むことができます。
Doctor Webでは、今年の4月にも同じハッカーグループによるマルウェアキャンペーンについて記事を掲載しています。ハッキングされた動画編集ソフトウェアの公式サイトから Win32.Bolik.2 が拡散されていました。
上記2つのトロイの木馬はいずれもDr.Web製品によって検出・駆除されます。したがって、Dr.Webユーザーに危害が及ぶことはありません。
脅威の痕跡情報 (IoC、Indicator of Compromise)
#banker #banking_trojan #stealer
08.15 Doctor Web:Google Playから約1億200万のAndroidユーザーによってインストールされたクリッカー型トロイの木馬
2019年8月15日
株式会社Doctor Web Pacific
このトロイの木馬はDr.Webの分類によって Android.Click.312.origin と名付けられた悪意のあるモジュールです。辞書やオンラインマップ、オーディオプレーヤー、バーコードスキャナー、その他のソフトウェアなどのごく普通のアプリケーションに組み込まれています。これらのプログラムはすべて実際に動作し、Androidユーザーには一見無害に見えるようになっています。さらに、ユーザーに疑いを抱かせないよう、 Android.Click.312.origin は起動から8時間経過した後になってようやく悪意のある動作を開始します。
起動されると、 Android.Click.312.origin は感染したデバイスに関する次の情報をC&Cサーバーに送信します。
- メーカーとモデル
- OSのバージョン
- ユーザーの居住国とデフォルトのシステム言語
- ユーザーエージェントID
- 携帯電話会社
- インターネット接続タイプ
- 表示パラメータ
- タイムゾーン
- トロイの木馬が組み込まれているアプリケーションのデータ
応答として、サーバーは必要な設定を送信します。マルウェアの一部の機能はリフレクションを使用しており、設定にはメソッドとクラスの名前、そしてそれらのパラメータが含まれています。これらはたとえば、 Android.Click.312.origin がアプリケーションのインストールと更新を監視するために使用するブロードキャストレシーバーやコンテンツオブザーバーを登録するために使用されます。
Play Marketクライアントによって新しいアプリケーションがインストールされたり、apkファイルがダウンロードされると、トロイの木馬はそのソフトウェアに関する情報とデバイスに関する技術的なデータをC&Cサーバーに送信します。そして、応答として非表示の WebView で開くWebサイトのアドレスと、ブラウザまたはGoogle Playでロードするためのリンクを受け取ります。
したがって、C&Cサーバーの設定と送信されるコマンドに応じて、トロイの木馬はGoogle Play上にアプリケーションの広告を表示させるだけでなく、広告(動画を含む)やその他の疑わしいコンテンツを含むあらゆるWebサイトを密かにロードすることができます。たとえば、トロイの木馬が組み込まれたアプリケーションをインストールした後、高額なコンテンツプロバイダーサービスに自動的に登録されたという声がユーザーからあがっています。
図1. 1人目のユーザーのコメント:「インストールした後、有料サービスに登録された! 気を付けて。このアプリケーションはインストールしちゃダメ!!!」
開発者の返答:「どのサービスのことですか? 何かお間違えのようです」
2人目のユーザー:「インストールした後5つのサービスに登録されて、携帯電話のアカウントが空になってしまった」
図2. ユーザーのコメント:「これは一体何の冗談? Beeline(ロシアの携帯電話会社)のサブスクリプションにお金が引き落とされてる。Beelineとは契約してないのに」
図3. ユーザーのコメント:「ログインすると50ルーブル取られる。なんでなのか分からない。誰か説明して」
図4. ユーザーのコメント:「アプリを使用したら、怪しいサービスに登録された」
Doctor Webでは、トロイの木馬がそのようなWebサイトを開く際の条件を再現することはできませんでしたが、 Android.Click.312.origin によるこの不正なスキームは極めて簡単に実行することができると考えられます。トロイの木馬はC&Cサーバーに現在のインターネット接続タイプを通知するため、デバイスがモバイルデータ通信でインターネットに接続している場合、サーバーはそのことを知ることができます。その場合、サーバーは WAP-Click テクノロジーをサポートしているパートナーサービスのWebサイトを開くコマンドを送信します。このテクノロジーは、さまざまな有料サービスへの登録を簡易化するものですが、違法行為に使用されることが少なくありません。Doctor Webでは、 2017年および2018年にこの問題について取り上げています。中には、不要なサービスに登録させる際にユーザーによる確認を必要としない場合もあります。これは、同じページ上にあるスクリプトや、あるいは確認ボタンを「クリック」する機能を持ったトロイの木馬によって実行することができます。 Android.Click.312.origin は非表示の WebView でページを開くため、ユーザーの知らない間にすべての手順を完了させることが可能です。
Doctor Webのウイルスアナリストは、 Android.Click.312.origin が組み込まれた34のアプリケーションを特定しました。これらアプリケーションは5170万人を超えるユーザーによってインストールされています。さらに、このトロイの木馬の亜種である Android.Click.313.origin が、少なくとも5,000万人によってダウンロードされています。したがって、このトロイの木馬による脅威にさらされているモバイルデバイスユーザーの総数は、1億170万人を超えているということになります。以下は、このクリッカーが検出されたプログラムのリストです。
| GPS Fix |
| QR Code Reader |
| ai.type Free Emoji Keyboard |
| Cricket Mazza Live Line |
| English Urdu Dictionary Offline - Learn English |
| EMI Calculator - Loan & Finance Planner |
| Pedometer Step Counter - Fitness Tracker |
| Route Finder |
| PDF Viewer - EBook Reader |
| GPS Speedometer |
| GPS Speedometer PRO |
| Notepad - Text Editor |
| Notepad - Text Editor PRO |
| Who unfriended me? |
| Who deleted me? |
| GPS Route Finder & Transit: Maps Navigation Live |
| Muslim Prayer Times & Qibla Compass |
| Qibla Compass - Prayer Times, Quran, Kalma, Azan |
| Full Quran MP3 - 50+ Audio Translation & Languages |
| Al Quran Mp3 - 50 Reciters & Translation Audio |
| Prayer Times: Azan, Quran, Qibla Compass |
| Ramadan Times: Muslim Prayers, Duas, Azan & Qibla |
| OK Google Voice Commands (Guide) |
| Sikh World - Nitnem & Live Gurbani Radio |
| 1300 Math Formulas Mega Pack |
| Обществознание - школьный курс. ЕГЭ и ОГЭ (Social Sciences - School Curriculum. State Uniform Examinations, Basic State Examinations.) |
| Bombuj - Filmy a seriály zadarmo |
| Video to MP3 Converter, RINGTONE Maker, MP3 Cutter |
| Power VPN Free VPN |
| Earth Live Cam - Public Webcams Online |
| QR & Barcode Scanner |
| Remove Object from Photo - Unwanted Object Remover |
| Cover art IRCTC Train PNR Status, NTES Rail Running Status |
Doctor Webはこのトロイの木馬についてGoogle社に報告を行い、検出されたアプリケーションの一部は直ちにGoogle Playから削除されました。また、いくつかのアプリケーションが更新され、悪意のあるコンポーネントが削除されました。しかしながら、本記事掲載時点で、多くのアプリケーションは依然として悪意のあるモジュールが含まれたままダウンロード可能な状態となっています。
開発者はアプリケーションを収益化するためのモジュールを、責任を持って選択し、疑わしいSDKをソフトウェアに組み込むことのないようにしてください。Dr.Web for Androidは Android.Click.312.origin の既知の亜種が組み込まれたアプリケーションを検出・駆除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
Android.Click.312.originの詳細(英語)
#Android, #Google_Play, #clicker
08.09 IoT(モノのインターネット)におけるリスクと脅威
2019年8月9日
株式会社Doctor Web Pacific
イントロダクション
昨今では、コンピューターやスマートフォン、タブレット、ルーターのみでなく、スマートTV、監視カメラ、スマートウォッチ、冷蔵庫、車、フィットネストラッカー、ビデオレコーダー、そして子供の玩具までもがWorld Wide Webに接続されています。
それらの多くは攻撃から適切に保護されていないか、まったく保護されていません。たとえば、数十万ものモデルに対してデフォルトで設定されてるシンプルな、あるいは良く知られた認証情報を使用してそれらに接続することが可能です。ユーザーは工場出荷時の設定を変更しようと思っていなかったり、アクセスが制限されているために変更することができなかったりします。サイバー犯罪者は辞書攻撃(ブルートフォース攻撃)によってそれらデバイスへのアクセスを比較的簡単に取得することができます。さらに、OSの脆弱性を悪用することもできます。
Doctor Webでは、罠となるネットワーク、すなわちハニーポットを構築し、2016年よりIoT( Internet of Things:モノのインターネット)に対する脅威について追跡を行ってきました。ハニーポットはARM、 MIPS、 MIPSEL、 PowerPC、 Intel x86_64などの複数のハードウェアプラットフォームに対応しており、様々な種類のスマートデバイスを模倣し、それらを感染させようとする試みを記録します。これにより、攻撃ベクターを監視し、新しいマルウェアのサンプルを検出・調査し、検出メカニズムを向上させ、攻撃に対するより効果的な対策を行うことが可能になります。
本記事は、特定されたスマートデバイスを標的とする攻撃と、IoTに対する最も一般的な脅威についてまとめたものです。
統計
監視を開始した当初、IoTデバイスを標的としたマルウェアの活動は比較的少なく、2016年の最初の4カ月間に記録された攻撃は 729,590 件でした。しかしながら、この数はその後1年間で32倍に増加し、 23,741,581 件となりました。そのさらに1年後には 99,199,444 件にまで増加しています。2019年の前半にはすでに 73,513,303 件の攻撃があり、2018年全体を通した攻撃数とほぼ同数となっています。
以下のグラフはハニーポットによって検出された攻撃数の変化を示しています。
IoTデバイスをハッキングしようとする試みや感染させようとする試みの数は3年足らずの間に13.497%増加しています。
スマートデバイスに対する攻撃は50カ国以上のIPアドレスから行われていました。最も多かった国は、米国、オランダ、ロシア、ドイツ、イタリア、英国、フランス、カナダ、シンガポール、インド、スペイン、ルーマニア、中国、ポーランド、ブラジルとなっています。
以下の図は攻撃元の地理的な分布を示しています。
サイバー犯罪者はデバイスを感染させた後、1つまたは複数のトロイの木馬をそれらにダウンロードしています。監視期間中にハニーポットによって検出されたユニークな(異なる)悪意のあるファイルの合計数は131,412となっています。以下のグラフは検出パターンを示しています。
スマートデバイスは様々なプロセッサアーキテクチャで動作することから、多くの場合マルウェアには一度に複数のハードウェアプラットフォームに対応するバージョンが存在します。ハニーポットによって模倣されたデバイスのうち、 ARM、 MIPSEL、 MIPSプロセッサを搭載したデバイスが他のデバイスに比べてより多く攻撃の対象となっており、このことは以下のグラフにも明確に示されています。
ハニーポットによって収集された統計によると、最も活発なマルウェアは Linux.Miraiファミリーで、攻撃の34%を占めています。次いでトロイの木馬 Linux.DownLoader (攻撃の3%)、 Linux.ProxyM (攻撃の1.5%)が続き、 Linux.Hajime、 Linux.BackDoor.Fgt、 Linux.PNScan、 Linux.BackDoor.Tsunami、 Linux.HideNSeekも上位10のマルウェアに含まれています。以下のグラフは最も活発なトロイの木馬の割合を示しています。
スマートデバイスを標的とする悪意のあるコードは、主な機能に応じていくつかの基本的なカテゴリに分類されます。
- DDoS攻撃を行うトロイの木馬( Linux.Mirai など)
- 他のマルウェアやコンポーネントを拡散、ダウンロード、インストールするトロイの木馬(Linux.DownLoader、 Linux.MulDropなど)
- 感染したデバイスの遠隔操作を可能にするトロイの木馬(Linux.BackDoorなど)
- デバイスをプロキシサーバーに変えるトロイの木馬( Linux.ProxyM、 Linux.Ellipsis.1、 Linux.LuaBotなど)
- 仮想通貨をマイニングするトロイの木馬(Linux.BtcMineなど)
- その他
ただし、現在のマルウェアは多くが複数の機能を一度に搭載した多機能な脅威となっています。
スマートデバイスに対する脅威の傾向
- Linux.Mirai、 Linux.BackDoor.Fgt、 Linux.BackDoor.Tsunami などのトロイの木馬のソースコードが公開されていることにより、新しいマルウェアの数が増加
- GoやRustなどの非標準的なプログラミング言語で書かれた悪意のあるアプリケーションの数が増加
- サイバー犯罪者は、スマートデバイスを感染させる目的で悪用することのできる多くの脆弱性に関する情報にアクセスすることができる
- IoTデバイスを標的とした仮想通貨マイナー(主にMonero)が依然として多く使用されている
IoTを標的とした、最もよく見られる目立ったトロイの木馬について以下に詳述します。
IoTに対する脅威の詳細
Linux.Mirai
Linux.Mirai は、IoTデバイスを標的とする最も活発なトロイの木馬の1つです。このマルウェアの最初のバージョンは2016年5月に登場しました。その後ソースコードが公開され、さまざまなウイルス開発者によってまたたく間に多数の亜種が生み出されました。現在、 Linux.Miraiはx86、 ARM、 MIPS、 SPARC、 SH-4、 M68Kなどの多くのプロセッサアーキテクチャで動作する、Linux向けの最も一般的なトロイの木馬となっています。
デバイスを感染させた後、 Linux.Mirai はC&Cサーバーに接続し、コマンドを待ちます。その主な機能はDDoS攻撃を実行することです。
以下のグラフは、ハニーポットによって検出されたこのマルウェアのアクティブなコピーの数を示しています。
Linux.Mirai の亜種が最も活発な動きを見せている国は中国、日本、米国、インド、ブラジルとなっています。以下の図は、監視期間中に Linux.Mirai ファミリーのボットが最も多く検出された国を表しています。
Linux.Hajime
スマートデバイスを標的とするまた別の危険なマルウェアが Linux.Hajime です。このトロイの木馬は2016年の後半からウイルスアナリストに知られています。ARM、 MIPS、 MIPSELアーキテクチャで動作し、 Telnetプロトコル経由で拡散されるワームとして機能します。このトロイの木馬に感染したデバイスは分散型P2Pボットネットの一部となり、他のオンラインオブジェクトを感染させるために使用されます。 Linux.Hajime は23番、7547番、5555番、5358番ポートを閉じ、他の悪意のあるソフトウェアが感染したデバイスにアクセスすることを防ぎます。
Linux.Hajime の活動は2016年後半から2017年初旬にピークを迎え、同時にアクティブとなっていたこのファミリーに属するトロイの木馬のコピーの数は43,000を超えていました。その後、このマルウェアの活動は大きく減少し、徐々に減少を続けた結果、現在ではアクティブな Linux.Hajime のボット数はわずか数百台となっています。
これらトロイの木馬が最も活発な動きを見せている国はブラジル、トルコ、ベトナム、メキシコ、韓国です。以下の図は、監視期間中にアクティブな Linux.Hajime が最も多く検出された国を表しています。
Linux.BackDoor.Fgt
IoTデバイスを標的とするトロイの木馬の上位5つには、2015年秋より拡散されている Linux.BackDoor.Fgt が含まれます。 MIPS、 SPARCおよびその他のアーキテクチャに対応する複数のバージョンがあり、 Linux上で動作します。そのソースコードが公開されていることから、 Linux.BackDoor.Fgt はウイルス開発者の間で高い人気を誇っています。
これらのバックドアは、TelnetおよびSSHプロトコル経由で拡散され、オブジェクトにアクセスするための認証情報をブルートフォース攻撃で取得します。これらのトロイの木馬の主な目的は、DDoS攻撃を実行し、感染したデバイスを遠隔操作することです。
Linux.ProxyM
Linux.ProxyMは、サイバー犯罪者がインターネット上で匿名性を保つために使用するマルウェアの1つです。感染したLinuxデバイス上でSOCKSプロキシサーバーを実行し、それを使用してサイバー犯罪者のネットワークトラフィックを転送します。2017年2月に最初のバージョンがDoctor Webのスペシャリストによって発見され、現在もアクティブなトロイの木馬です。
Linux.Ellipsis.1
Linux.Ellipsis.1は、IoTデバイスやLinuxコンピューターをプロキシサーバーに変えるよう設計されたまた別のトロイの木馬で、2015年にDoctor Webアナリストによって発見されました。起動されると、ログファイルを削除し、デバイスが新しいログファイルを作成することを妨げ、一部のシステムユーティリティを削除し、特定のIPアドレスへのアクセスをブロックします。 トロイの木馬がいずれかのIPアドレスから疑わしいトラフィックを検出した場合、そのIPがブラックリストに追加されます。また、 Linux.Ellipsis.1 はC&Cサーバーのコマンドに従って、禁止されたアドレスに接続しているアプリケーションを終了させることもできます。
Linux.LuaBot
Linux.LuaBotファミリーに属するトロイの木馬の最初のバージョンは、2016年にDoctor Webによって発見されました。これらのマルウェアはLuaスクリプト言語で書かれ、 Intel x86_64、 MIPS、 MIPSEL、 Power PC、 ARM、 SPARC、 SH-4、 M68kアーキテクチャを実装したデバイスに対応しています。数十個のモジュールで構成され、それぞれが特定のタスクを実行します。このトロイの木馬は、C&Cサーバーからこれらモジュールの更新を受信したり、新しいモジュールをダウンロードしたりすることができます。 Linux.LuaBot は多機能なトロイの木馬です。その亜種とスクリプトの組み合わせに応じて、サイバー犯罪者はそれらを使用して感染したデバイスを遠隔操作したり、インターネット上で匿名性を保つためにプロキシサーバーを作成したりすることができます。
Linux.BtcMine.174
仮想通貨マイニングは、サイバー犯罪者がIoTデバイスを感染させる際の最たる目的の1つです。 Linux.BtcMine ファミリーに属するトロイの木馬やその他のマルウェアは、その目的の達成を可能にします。それらの1つである Linux.BtcMine.174 は、2018年後半にDoctor Webのエキスパートによって発見されました。このトロイの木馬はシェルスクリプトで、 Monero(XMR)をマイニングします。ルート権限で起動されなかった場合、トロイの木馬は複数のエクスプロイトを使用して権限を昇格しようとします。
Linux.BtcMine.174はアンチウイルスプログラムのプロセスを検索してそれらを終了させ、そのファイルをデバイスから削除しようとします。次に、バックドアやルートキットモジュールを含む複数の追加コンポーネントをダウンロードして起動し、システム上でマイナーを起動させます。
このトロイの木馬は自動実行に自身を追加するため、感染したデバイスを再起動しても効果はありません。また、マイニングプロセスがアクティブであるかどうかをチェックし続け、必要に応じてそれを再開させ、常に仮想通貨がマイニングされるようにします。
Linux.MulDrop.14
Linux.MulDropトロイの木馬ファミリーは、他のマルウェアを拡散し、インストールするために使用されます。複数のハードウェアアーキテクチャと多くの種類のデバイスで動作します。 2017年、Doctor Webのウイルスアナリストは Raspberry Piコンピューターを標的とするLinux.MulDrop.14トロイの木馬を発見しました。このドロッパーは、その本体に暗号化された仮想通貨マイナーが埋め込まれたスクリプトです。起動されると、トロイの木馬はマイナーを展開して起動し、ローカルエリアネットワーク上にある他のデバイスを感染させようとします。他のマルウェアが感染したデバイスのリソースにアクセスするのを防ぐために、Linux.MulDrop.14はネットワークの22番ポートを閉じます。
Linux.HideNSeek
Linux.HideNSeek はLinux搭載のスマートデバイス、コンピューター、サーバーを感染させ、それらを分散型ボットネットに組み込みます。自身を拡散するために、このトロイの木馬はIPアドレスを生成し、ブルートフォース攻撃と既知の認証データの組み合わせのリストを使用してそれらに接続しようとします。さらに、さまざまなハードウェアの脆弱性を悪用することもできます。 Linux.HideNSeek は感染したデバイスを遠隔操作(サイバー犯罪者から受け取ったコマンドを実行する、ファイルをコピーするなど)する目的で使用することができます。
Linux.BrickBot
他の多くのマルウェアと異なり、 Linux.BrickBot トロイの木馬は利益をもたらすことを目的としたのもではなく、コンピューターやスマートデバイスを無効にし、破壊するよう設計されています。このマルウェアは2017年より知られています。
Linux.BrickBot トロイの木馬はTelnetプロトコル経由でデバイスに感染させ、ブルートフォース攻撃によって認証情報を取得します。次に、永続ストレージモジュールからデータを消去し、ネットワーク設定をリセットし、すべての接続をブロックして、再起動を実行します。その結果、ユーザーはオブジェクトを復元するためにリフラッシュを行わなくてはならなくなります。あるいは、コンポーネントを交換しなければならない場合もあります。このようなトロイの木馬はまれではありますが、極めて危険です。
2019年6月下旬、 Linux.BrickBot.37 トロイの木馬(別名Silex)が広く拡散されました。 Linux.BrickBot.37 は Linux.BirckBot ファミリーに属する他のトロイの木馬と同様の機能――すなわち、デバイスドライブからデータを消去、ネットワーク設定を削除、再起動――を実行します。Doctor Webのハニーポットでは、このトロイの木馬を使用した 2,600 件以上の攻撃が検出されました。
結論
日常生活でますます多く使用されるようになっている何百万ものハイテクデバイスは、実際には小さなコンピューターであり、したがってコンピューターと同じ欠陥を抱えています。コンピューターと同様に攻撃の対象となり、同様の脆弱性を有していますが、デバイスの性質上、またはデザイン上の制限から、それらを保護するのはより一層困難であり、時には不可能でさえあります。加えて、多くのユーザーは潜在的なリスクに気が付いておらず、スマートデバイスを安全で便利な玩具であると考えています。
IoT市場は急速に発展しており、かつてパソコンが広く普及しはじめたころの状況、すなわち、脅威に対抗するためのメカニズムがようやく登場しはじめたころの状況が、今ここでまた繰り返されています。スマートデバイスのメーカーやユーザーが新たな現実に適応しようとしている間に、サイバー犯罪者には攻撃の大きな機会が生まれます。近い将来、IoT(モノのインターネット)に対する新しいマルウェアが登場することになると考えられます。
Doctor Webではスマートデバイスを標的とするトロイの木馬やその他の脅威の拡散について引き続き監視を行い、注目すべきイベントについてユーザーの皆様にお知らせしてまいります。本記事で取り上げたマルウェアは、Dr.Webのアンチウイルス製品によって検出・削除することができます。
08.08 2019年7月のウイルスレビュー
2019年8月8日
Dr.Webサーバーの統計によると、7月には6月と比較して検出された脅威の合計数に54.21%の減少が見られました。一方で、ユニークな脅威の数はほぼ2倍に増加しています。メールトラフィック内で検出されるマルウェアについては、Microsoft Officeプログラムの脆弱性を悪用するものが多くを占めています。検出されたすべての脅威の中で最も多かったものは、依然としてアドウェアならびに不要なプログラムとなっています。7月に最も多く検出されたランサムウェアは Trojan.Encoder.858 で、Doctor Webテクニカルサポートサービスに寄せられたデータ復号化のリクエスト全体の21.15%を占めていました。
Doctor Webのリサーチャーは、スマートデバイスとモノのインターネット(IoT)に対する最も一般的な脅威の傾向について調査を行い、その結果をまとめました。このレビューは2016年より収集されているDoctor Webのハニーポットから得られた統計データに基づいたもので、IoT分野におけるセキュリティの問題に対する注意を喚起することを目的としています。
7月の主な傾向
- ユニークなマルウェアの拡散活動が増加
- ランサムウェア活動の減少
Doctor Web統計サーバーによる統計
7月の脅威
- Adware.Ubar.13
- ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。
- Adware.Softobase.15
- 古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。
- Trojan.Packed.20771
- 検索結果をさまざまなWebサイトにリダイレクトする悪意のあるブラウザ拡張機能をインストールするプログラムです。
- Trojan.Winlock.14244
- Windows OSとその機能へのユーザーのアクセスをブロックまたは制限するランサムウェア型トロイの木馬です。システムのブロックを解除するために、ユーザーはサイバー犯罪者に身代金を支払うよう要求されます。
- Trojan.DownLoader29.14148
- ユーザーの許可なしに悪意のあるソフトウェアをダウンロードして実行します。
メールトラフィック内で検出された脅威の統計
- Exploit.Rtf.CVE2012-0158
- 改変されたMicrosoft Officeドキュメントで、悪意のあるコードを実行するために脆弱性 CVE2012-0158 を悪用します。
- W97M.DownLoader.2938
- Microsoft Officeアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたシステムに別の悪意のあるプログラムをダウンロードするよう設計されています。
- Exploit.ShellCode.69
- CVE-2017-11882 と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。
- JS.DownLoader.1225
- コンピューター上に別のマルウェアをダウンロードしてインストールするよう設計された、JavaScriptで書かれた様々な悪意のあるコードです。
暗号化ランサムウェア
2019年7月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした:
Trojan.Encoder.858 — 21.15%Trojan.Encoder.567 — 9.45%Trojan.Encoder.11464 — 8.01%Trojan.Encoder.25574 — 4.93%Trojan.Encoder.18000 — 3.90%Trojan.Encoder.11539 — 3.08%Trojan.Encoder.28004 — 1.85%
危険なWebサイト
2019年7月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は123,251件となっています。
| 2019年6月 | 2019年7月 | 推移 |
|---|---|---|
| + 151 162 | + 123 251 | -18.46% |
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
7月中旬、Doctor Webのリサーチャーは、感染したAndroidデバイスを犯罪者が遠隔操作することを可能にする新しい危険なトロイの木馬
検出されたその他の脅威の中に、
そのほか、サイバースパイ活動に使用される
7月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。
- 悪意のあるコマンドを実行する危険なバックドアの検出
- Google Play上で新たな悪意のあるプログラムを検出
- スパイ活動を行うよう設計されたトロイの木馬の拡散
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。
08.07 2019年7月のモバイルマルウェアレビュ
2019年8月7日
株式会社Doctor Web Pacific
7月、Doctor Webは、悪意のあるコマンドを実行し、機密データを盗み、偽のウィンドウや詐欺メッセージを表示する危険なトロイの木馬 Android.Backdoor.736.origin について記事を公開しました。また、7月には Android.HiddenAds ファミリ―に属する新たなアドウェア型トロイの木馬がGoogle Play上で多数発見されています。そのほか、不要なアドウェア Adware.HiddenAds.9.origin やスパイウェア型トロイの木馬 Android.Spy.567.origin と Android.Spy.568.origin がDr.Webのウイルスデータベースに追加されました。
7月の主な傾向
- ユーザーをスパイし、サイバー犯罪者から受け取ったコマンドを実行するAndroid向けバックドアの拡散
- Google Play上で新たなトロイの木馬や不要なアプリケーションを検出
- スパイウェア型トロイの木馬の拡散
7月のモバイル脅威
7月中旬、Doctor Webのウイルスアナリストは、OpenGL ES GUIのバージョンをチェックしてそのアップデートをダウンロードするアプリケーションOpenGL Pluginを装って拡散されていたトロイの木馬 Android.Backdoor.736.origin について調査を行いました。
このバックドアはユーザーをスパイし、連絡先や通話、デバイスの位置に関する情報を犯罪者に送信していました。また、デバイスからリモートサーバーにファイルをアップロードしたり、ソフトウェアをダウンロード・インストールしたりする機能も備えています。 Android.Backdoor.736.origin には次のような特徴があります。
- トロイの木馬の主要な悪意のあるコンポーネントは、プログラムリソースと同じディレクトリにある暗号化された補助ファイルに隠されている
- システムがルート権限を持っている場合、自動的にソフトウェアをインストールすることが可能
- C&Cサーバーから受け取ったシェルコマンドを実行することが可能
Android.Backdoor.736.origin に関する詳細については、こちらの記事をご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds.1424
- 迷惑な広告を表示するよう設計されたトロイの木馬です。人気のアプリケーションを装って拡散されます。
- Android.RemoteCode.197.origin
- Android.RemoteCode.5564
- Android.RemoteCode.216.origin
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュール:
- Adware.Zeus.1
- Adware.Gexin.3.origin
- Adware.Patacore.253
- Adware.Altamob.1.origin
アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォーム:
- Tool.VirtualApk.1.origin
Google Play上の脅威
7月の初旬以降、 Android.HiddenAds ファミリーに属する新たなアドウェア型トロイの木馬が多数Google Play上で発見されています。これらマルウェアは無害なゲームや、カメラのフィルター、システムユーティリティ、目覚まし時計などの便利なアプリケーションを装って拡散され、820万人を超えるユーザーによってインストールされています。起動されると、これらトロイの木馬はメイン画面上のソフトウェアリストから自身のアイコンを隠し、デバイスの操作を邪魔するバナーを表示させます。
そのほか、 Adware.HiddenAds.9.origin と名付けられた不要な広告モジュールも発見されています。このアドウェアはコンパスソフトウェアやデスクトップ用の壁紙に組み込まれており、それらのアプリケーションが閉じられている場合でも広告を表示させます。
サイバースパイ活動
7月には、スパイウェア型トロイの木馬 Android.Spy.567.origin と Android.Spy.568.origin がDr.Webのウイルスデータベースに追加されました。 Android.Spy.567.origin はテキストメッセージや通話、カレンダー、連絡帳、デバイス上に保存されたファイルに関する情報をリモートサーバーに送信します。
Android.Spy.568.origin は詐欺メッセージを表示させ、Google Playコンポーネントをアップデートするようユーザーに促します。ユーザーが同意すると、Googleアカウントのログインページを模倣したフィッシングウィンドウが表示されます。
ウイルス開発者は「Sign in(サインイン)」のスペルを間違えており、そこから偽物であると見分けることができます。ユーザーが気付かずにログインしてしまった場合、現在のセッションのデータが Android.Spy.568.origin によって盗まれます。その結果、犯罪者がカレンダーエントリー、確認コード、電話番号、アカウントへのアクセスを復元するためのメールアドレスなどの機密情報へアクセスすることが可能になります。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
07.16 Doctor Web:Google Playから拡散される危険なAndroid向けバックドア
2019年7月16日
株式会社Doctor Web Pacific
Android.Backdoor.736.origin と名付けられたこのマルウェアは、OpenGL ES GUIのバージョンをチェックしてそのアップデートをダウンロードするアプリケーションOpenGL Pluginを装って拡散されています。
起動されると、 Android.Backdoor.736.origin は機密情報を収集したりファイルシステムを操作したりすることを可能にする重要なシステム権限を要求します。また、他のプログラムのインターフェースの前面にウィンドウを表示させるパーミッションも取得しようとします。
そのウィンドウには、OpenGL ES GUIのアップデートを「確認」するためのボタンがあります。ユーザーがボタンをタップすると、トロイの木馬はOpenGL ESの新しいバージョンを検索する動作をシミュレートしますが、これはユーザーを騙すためであり、実際には何も確認していません。
ユーザーがアプリケーションウィンドウを閉じると、 Android.Backdoor.736.origin はメイン画面のリストから自身のアイコンを削除し、代わりにショートカットを作成します。ショートカットを削除してもマルウェア自体に影響はないため、これによりユーザーがトロイの木馬を削除することが難しくなります。
Android.Backdoor.736.origin はバックグラウンドで常にアクティブな状態にあり、そのアイコンやショートカットからのみでなく、システム起動時やサイバー犯罪者からのコマンドに応じて Firebase Cloud Messaging 経由で自動的に起動することができます。このトロイの木馬の主な悪意のある機能は、プログラムリソースと同じディレクトリに置かれている暗号化された補助ファイルに含まれています。このファイルは Android.Backdoor.736.origin が起動する度に復号化され、メモリにロードされます。
バックドアは、犯罪者からのコマンドを受信し、収集したデータを送信するために、複数のC&Cサーバーと通信を行います。サイバー犯罪者は Firebase Cloud Messaging サービス経由でもトロイの木馬をコントロールすることができます。 Android.Backdoor.736.origin は以下の動作を実行することができます。
- 連絡先リストに含まれている連絡先に関する情報をサーバーに送信する
- テキストメッセージに関する情報をサーバーに送信する(調査の対象となったトロイの木馬のバージョンはこの権限を持っていませんでした)
- 通話履歴をサーバーに送信する
- デバイスの位置情報をサーバーに送信する
- DexClassLoadeクラスを使用してAPKファイルまたはDEXファイルをダウンロードして起動する
- インストールされているソフトウェアに関する情報をサーバーに送信する
- 指定された実行ファイルをダウンロードして起動する
- サーバーからファイルをダウンロードする
- 指定されたファイルをサーバーにアップロードする
- 指定されたディレクトリまたはメモリカード内のファイルに関する情報をサーバーに送信する
- シェルコマンドを実行する
- コマンドで指定されたアクティビティを起動する
- Androidアプリケーションをダウンロード・インストールする
- コマンドで指定された通知を表示する
- コマンドで指定されたパーミッションを要求する
- トロイの木馬に与えられたパーミッションのリストをサーバーに送信する
- 指定された期間中、デバイスがスリープモードにならないようにする
Android.Backdoor.736.origin はサーバーに送信するすべてのデータをAESで暗号化します。リクエストはそれぞれ、現在時刻に基づいて生成される固有のキーで保護されています。同じキーを使用してサーバーの応答が暗号化されます。
Android.Backdoor.736.origin は複数の方法でアプリケーションをインストールすることができます。
- システムがroot権限を持っている場合、自動的に(シェルコマンドを使用して)
- システムのパッケージマネージャを使用して(システムソフトウェアのみ)
- ユーザーがインストールを確認するための、システムの標準インストールダイアログを表示させることで
このバックドアはあらゆるコンテンツを含んだウィンドウや通知を表示させることができるため、スパイウェアとして動作するだけでなくフィッシングにも使用される可能性があり、深刻な脅威であると言えます。さらに、他の悪意のあるアプリケーションをダウンロード・インストールすることができ、任意のコードを実行する機能も備えています。たとえば、犯罪者から受け取ったコマンドに従って、ルート権限を取得するためのエクスプロイトをダウンロードして起動することができます。これにより、 Android.Backdoor.736.origin はユーザーの許可なしに他のプログラムをインストールすることができるようになります。
Doctor Webは、このトロイの木馬についてGoogle社に報告を行いました。本記事掲載時点で Android.Backdoor.736.origin はGoogle Playから削除されています。
Dr.Web for Androidは Android.Backdoor.736.origin とそのコンポーネントを検出・削除することができます。そのため、このトロイの木馬がDr.Webユーザーに危害を与えることはありません。
Android.Backdoor.736.originの詳細(英語)
#Android, #backdoor, #Google_Play, #spyware
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
07.08 2019年6月のウイルスレビュー
2019年7月8日
株式会社Doctor Web Pacific
Dr.Webサーバーの統計によると、6月には5月と比較して全般的な脅威の数とユニークな脅威の数に著しい増加が見られました。検出されたすべての脅威の合計数では引き続きアドウェアとインストーラが最も多くを占め、メールトラフィック内のマルウェア活動が増加しました。かつて石油・ガス会社を標的にしていた危険なスティーラーTrojan.PWS.Maria.3(Ave Maria)が再び活動を開始し、感染したコンピューターをコントロールするためのリモートアクセス機能を備えたトロイの木馬Trojan.Nanocore.23がメールを介して拡散されました。また、6月にはエンコーダTrojan.Encoder.858を使用したマルウェアキャンペーンが展開されました。
6月の主な傾向
- マルウェア拡散活動の増加
- メールスティーラーとRAT(リモートアクセス型トロイの木馬)
- エンコーダ活動の増加
6月の脅威
6月、Doctor Webのウイルスラボは Node.js トロイの木馬Trojan.MonsterInstallの希少なサンプルの提供を受け、それについて調査を行いました。被害者のデバイス上で起動されると、 Trojan.MonsterInstall はその動作に必要なすべてのコンポーネントをダウンロード・インストールし、システムに関する情報を収集してトロイの木馬開発者のサーバーに送信します。そして応答を受け取ると、自動実行されるように自身を登録し、仮想通貨 TurtleCoin のマイニングを開始します。このトロイの木馬の開発者はTrojan.MonsterInstallを拡散するために、自らの所有するサイトで提供される人気ゲームのチートを使用していますが、そのほかに、同じような他のサイト上にあるファイルもトロイの木馬に感染させています。
Doctor Web統計サーバーによる統計
6月の脅威:
- Adware.Ubar.13
- ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。
- Trojan.InstallCore.3553
- 悪名高いまた別のアドウェアインストーラです。広告を表示させ、ユーザーの許可なしにソフトウェアをインストールします。
- Trojan.Winlock.14244
- Windows OSとその機能へのユーザーのアクセスをブロックまたは制限するランサムウェア型トロイの木馬です。システムのブロックを解除するために、ユーザーはサイバー犯罪者に身代金を支払うよう要求されます。
- Trojan.Starter.7394
- デバイス上で別のマルウェアを起動させるトロイの木馬です。
- Adware.Softobase.12
- 古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。
メールトラフィック内で検出された脅威の統計
- Exploit.Rtf.CVE2012-0158
- 悪意のあるコードを実行するために脆弱性 CVE2012-0158 を悪用する、改変されたMicrosoft Office Wordドキュメントです。
- W97M.DownLoader.2938
- Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることができます。
- Exploit.ShellCode.69
- CVE-2017-11882 と呼ばれる脆弱性を悪用する、悪意のあるMicrosoft Office Wordドキュメントです。
活動に増加がみられた脅威:
- Trojan.PWS.Maria.3
- 悪意のあるExcelファイルに含まれてメール経由で拡散されるスティーラーです。実行ファイルを起動するために脆弱性 CVE-2017-11882 を悪用します。当初はイタリアの石油・ガス会社を標的としたフィッシングキャンペーンに使用されていました。
- Trojan.Nanocore.23
- リモートアクセス機能を備えた危険なトロイの木馬です。サイバー犯罪者が感染したコンピューターを遠隔操作することを可能にします(デバイス上で使用可能な場合はカメラやマイクの操作を含む)。
暗号化ランサムウェア
2019年6月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした:
- Trojan.Encoder.858 — 30.31%
- Trojan.Encoder.567 — 7.02%
- Trojan.Encoder.11464 — 6.47%
- Trojan.Encoder.11539 — 3.33%
- Trojan.Encoder.18000 — 3.14%
- Trojan.Encoder.28004 — 2.59%
- Trojan.Encoder.25574 — 1.66%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します。
危険なWebサイト
2019年6月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は151,162件となっています。
| 2019年5月 | 2019年6月 | 推移 |
|---|---|---|
| + 223,952 | + 151,162 | – 32.5% |
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
6月には、Google Play上で悪意のあるプログラムや不要なプログラムが多数、Doctor Webのウイルスアナリストによって発見されました。それらの中には、他のアプリケーションやOSインターフェースの前面に広告バナーを表示させるトロイの木馬 Android.HiddenAds 、詐欺ソフトウェア Android.FakeApp が含まれていました。 Android.FakeApp は、報酬を受け取ることのできるオンライン調査に参加するようユーザーに促すWebサイトを開きます。ユーザーは報酬を得るために手数料を支払うよう要求されますが、お金を支払った後、報酬を受け取ることはありません。このトロイの木馬ファミリーに属する Android.FakeApp.174 は、ユーザーを騙して迷惑な通知や詐欺通知を登録させるためのWebサイトを開きます。
6月には Android.DownLoader.3200 や Android.DownLoader.681.origin などの新たなダウンローダ型トロイの木馬も検出されています。これらトロイの木馬はAndroidデバイス上に別の悪意のあるアプリケーションをダウンロードします。また、開発者によってプログラムやゲームに組み込まれていた新しいアドウェアモジュール Adware.OneOceans.2.origin についてDoctor Webのエキスパートによる調査が行われました。
6月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。
- Google Play上で新たなマルウェアを検出
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。
Dr.Webと一緒にもっと学びましょう
07.05 2019年6月のモバイルマルウェアレビュー
2019年7月5日
株式会社Doctor Web Pacific
6月中旬、Doctor WebのウイルスアナリストはGoogle Play上でマルウェア Android.FakeApp.174 を発見しました。このマルウェアはWebサイトを開き、そこでAndroidデバイスユーザーをスパム通知に登録させます。また、6月には広告を表示させる Android.HiddenAds ファミリーに属する新たなトロイの木馬や他の悪意のあるアプリケーションをダウンロードするトロイの木馬 Android.DownLoader 、そしてAndroidを狙ったその他の脅威も発見されています。
6月の主な傾向
- 新たな悪意のあるアプリケーションや不要なアプリケーションがGoogle Play上に登場
6月のモバイル脅威
6月17日、Doctor Webは疑わしいサイトを開くトロイの木馬 Android.FakeApp.174 について記事を公開しました。このトロイの木馬はAndroidデバイスのユーザーを騙して通知を登録させ、同意したユーザーに対して大量のスパム通知を送信します。これらの通知は、デバイス上にインストールされているアプリケーションの本物の通知のように見えるようになっています。
通知をクリックすると、ユーザーは疑わしいコンテンツを含むWebサイトへとリダイレクトされます。それらの多くは詐欺サイトです。
Android.FakeApp.174 の特徴:
- 有名なブランドの公式ソフトウェアを装ってGoogle Playから拡散されている
- トロイの木馬によって開かれたWebサイトからの通知は、トロイの木馬が削除されても止まることはない
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds.1424
- 迷惑な広告を表示するよう設計されたトロイの木馬です。人気のアプリケーションを装って拡散されます。
- Android.RemoteCode.197.origin
- Android.RemoteCode.4411
- 任意のコードをダウンロードして実行するように設計された悪意のあるアプリケーションです。
- Android.Triada.3670
- 様々な悪意のある機能を実行するマルチコンポーネントトロイの木馬です。
Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させるプログラムモジュール:
- Adware.Zeus.1
- Adware.Jiubang.2
- Adware.AdPush.33.origin
- Adware.Toofan.1.origin
アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォーム:
- Tool.VirtualApk.1.origin
新しい脅威:
- Adware.Patacore.253
- Androidデバイス上にバナー広告を表示させる不要なモジュールのファミリーに属する脅威です。
Google Play上の脅威
Google Play上では Android.FakeApp.174 のほかにも悪意のあるプログラムや不要なプログラムが発見されています。それらの中には同じファミリーに属するトロイの木馬である Android.FakeApp.151 と Android.FakeApp.173 が含まれていました。これらトロイの木馬は、オンライン調査に参加することで報酬を得ることができるプログラムを装って拡散されていました。起動されるとトロイの木馬は詐欺サイトを開き、ユーザーはそこでいくつかの質問に回答するよう求められます。その後、「報酬」を得るために税金や手数料を支払うよう要求されますが、お金を支払ったユーザーが報酬を受け取ることはありません。
また、新たな Android.HiddenAds トロイの木馬もいくつかウイルスアナリストによって発見されています。これらトロイの木馬はゲームやユーティリティなどの便利なアプリケーションを装って拡散され、338万人を超えるユーザーによってインストールされていました。
このマルウェアはインストールされて起動されると自身のアイコンを隠し、広告を表示させます。
Google Play上で発見されたまた別のトロイの木馬は Android.DownLoader.3200 と名付けられました。このトロイの木馬は LETSCOM スマートブレスレット用のソフトウェアに組み込まれ、5万人を超えるユーザーによってインストールされていました。
このアプリケーションの最初のバージョンは無害なものでしたが、その後のバージョン1.1.0と1.1.4でトロイの木馬の機能が追加されています。 Android.DownLoader.3200 はモバイルデバイス上に別のトロイの木馬をダウンロードしていました。
Android.DownLoader.681.origin と名付けられたまた別のダウンローダも Android.DownLoader.3200 と同様、無害なプログラムとして(この場合はオーディオプレーヤーとして)拡散されていました。 Android.DownLoader.681.origin は悪意のあるアプリケーションをダウンロードし、それらをインストールしようとします。
6月末、広告を表示させる不要なプログラムモジュール Adware.OneOceans.2.origin がDr.Webのウイルスデータベースに追加されました。このモジュールはゲーム「Toy Blast: Cube Smash」に組み込まれ、10万人を超えるユーザーによってダウンロードされていました。
お使いのAndroidデバイスをマルウェアや不要なプログラムから保護するために、Dr.Web for Androidをインストールすることをお勧めします。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
06.21 ゲーマーを脅かす新たなNode.jsトロイの木馬
2019年6月21日
株式会社Doctor Web Pacific
この度、Doctor Webのウイルスラボは Yandex 社より Node.js トロイの木馬の希少なサンプルの提供を受け、それについて調査を依頼されました。このマルウェアはゲームのチートを提供するサイトから拡散されていたもので、複数のバージョンとコンポーネントがあります。
ユーザーがチートをダウンロードしようとすると、コンピューター上にパスワード保護された7zipアーカイブがダウンロードされます。アーカイブには実行ファイルが含まれており、このファイルは、起動されるとユーザーが要求したチートと一緒に他のトロイの木馬のコンポーネントをダウンロードします。
被害者のデバイス上で起動されると、 Trojan.MonsterInstall はその動作に必要なすべてのコンポーネントをダウンロード・インストールし、システムに関する情報を収集してトロイの木馬開発者のサーバーに送信します。そして応答を受け取ると、自動実行されるように自身を登録し、仮想通貨 TurtleCoin のマイニングを開始します。
このトロイの木馬の開発者は、それらを拡散するためのゲームのチートを提供するサイトを複数所有していますが、そのほかに、同じような他のサイトもトロイの木馬に感染させています。 SimilarWeb の統計によると、これらのサイトは月に12万7400回以上閲覧されています。
以下はマルウェアの開発者が所有するサイトです。
- румайнкрафт[.]рф;
- clearcheats[.]ru;
- mmotalks[.]com;
- minecraft-chiter[.]ru;
- torrent-igri[.]com;
- worldcodes[.]ru;
- cheatfiles[.]ru.
上記サイトのほか、 proplaying\[.]ru のチートも一部感染していることが明らかになっています。
Doctor Webでは、アンチウイルスを適時にアップデートし、疑わしいソフトウェアをダウンロードしないようにすることを推奨しています。
トロイの木馬のサンプルと拡散元に関する情報をご提供いただいた Yandex 社に対し、厚く御礼申し上げます。
IoC (Indicators of compromise)
#JavaScript #games #mining
06.17 Doctor Web:Androidユーザーを脅かす偽のプッシュ通知
2019年6月17日
株式会社Doctor Web Pacific
Webプッシュ通知を使用することで、Webサイトはブラウザでそのページが開かれていない場合でもユーザーが同意すれば通知を送信することが可能になります。無害なWebサイトであれば、この機能は有益で便利なものになります。たとえば、ソーシャルメディアはユーザーに新しいメッセージについて通知することができ、ニュースサイトは新しい記事について知らせることができます。一方で、ハッキングされたサイトや悪意のあるサイトからの広告や偽の通知を拡散させるために、サイバー犯罪者や悪質な広告主によってこの機能が悪用される可能性もはらんでいます。
プッシュ通知はモバイルデバイスのほか、デスクトップパソコンやートパソコンのブラウザでもサポートされています。通常、被害者は特別に作成されたリンクや広告バナーをクリックすることで危険なスパムサイトへ飛ばされます。 Android.FakeApp.174 は、犯罪者がそのようなWebサイトの訪問者数を増加させ、スマートフォンやタブレットのユーザーにプッシュ通知を登録させることを可能にする最初のトロイの木馬の1つです。
Android.FakeApp.174 は便利なプログラム(有名なブランドの公式ソフトウェアなど)を装って拡散されています。6月上旬、Google Play上でこのトロイの木馬の2つの亜種がDoctor Webのマルウェアアナリストによって発見されました。報告を受けたGoogle社によってマルウェアは削除されましたが、すでに1100人を超えるユーザーがそれらをダウンロードしていました。
起動されると、トロイの木馬はその設定内で指定されているWebサイトをGoogle Chromeで開きます。そのページからさまざまなアフィリエイトプログラムのページへと何度かリダイレクトを実行し、それらすべてのページでユーザーに通知の許可を要求します。その際、ユーザーに対して、認証のため(ユーザーがロボットでないことを確認する、など)であると説明したり、またはただ単にダイアログ内のどのボタンをクリックするかを示したりすることで、疑いを抱かれないようにしています。こうして、トロイの木馬は登録数を増やしていきます。以下の画像は通知の許可を求める画面の例です。
登録が完了すると、Webサイトはユーザーに対して疑わしい内容の通知を大量に送信しはじめます。これらの通知はブラウザが閉じられ、トロイの木馬がすでに削除されている場合でもOSのステータスバーに表示されます。その内容は、キャッシュボーナスや送金、ソーシャルメディア上の新しいメッセージに関する偽の通知から、星占い、カジノ、商品やサービスの広告、さらにはさまざまな「ニュース」まで、あらゆるものがあります。
それらの多くは実際のオンラインサービスやデバイス上にインストールされているアプリケーションの本物の通知のように見えます。たとえば、銀行、出会い系サイト、ニュースサイト、ソーシャルネットワークのロゴや目立つバナーが表示されます。このようなスパムメッセージが、場合によっては1日に数十通もAndroidデバイスユーザーに対して送信されます。
それらの通知には送信元となるWebサイトのアドレスも表示されていますが、警戒していないユーザーは気が付かなかったり、気に留めないこともあります。以下の画像は偽の通知の例です。
通知をクリックすると、ユーザーは疑わしいコンテンツを含むWebサイトへとリダイレクトされます。そのようなサイトには、カジノ、ベッティングショップ、さまざまなGoogle Playアプリケーション、割引やクーポン、偽のオンライン調査や賞品の抽選、パートナーリンクのアグリゲーター、そしてユーザーの住んでいる国によって異なるその他のオンラインリソースが含まれます。以下はそのようなサイトの例です。
これらリソースの多くは金銭を盗むための良く知られた詐欺スキームに使用されているものですが、今後、機密情報を盗むための攻撃に使用される可能性もあります。たとえば、銀行やソーシャルネットワークからのものを装った「重要な」通知をブラウザ経由で送信することで、ユーザーに偽の通知を本物であると思わせることができます。通知をタップしてしまったユーザーはフィッシングサイトへリダイレクトされ、そこで名前や認証情報、メールアドレス、クレジットカード番号、その他の機密情報を入力するよう求められます。
Doctor Webのエキスパートは、サイバー犯罪者は疑わしいサービスを宣伝するためにこの手法をより積極的に使用するようになるものとみています。モバイルユーザーはWebサイトを訪問する際には注意を欠かさず、見慣れないサイトや疑わしいサイトでは通知を登録しないようにしてください。すでにスパム通知を登録してしまっている場合は、以下の手順を実行してください。
- Chromeの設定を開き、[サイトの設定]で[通知]を選択します。
- 通知が有効になっているWebサイトのリストから該当するアドレスを見つけ、それをタップして、[消去してリセット]を選択します。
Dr.Web for Androidは Android.FakeApp.174 の既知の亜種をすべて検出し、削除します。したがって、Dr.Webユーザーに危害が及ぶことはありません。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
06.05 2019年5月のウイルスレビュー
2019年6月5日
株式会社Doctor Web Pacific
Dr.Web の統計によると、5月には4月と比較してユニークな脅威の数に1.49%の増加が見られました。検出されたすべての脅威の合計数は14.51%増加しています。マルウェアや不要なプログラムに関する統計では、アドウェアとインストーラが多く検出されています。メールトラフィック内で検出されるマルウェアは、依然としてMicrosoft Officeプログラムの脆弱性を悪用したものが多くを占めていますが、5月には危険なトロイの木馬 Trojan.Fbng.8 (FormBook)の拡散にも増加がみられました。
5月の主な傾向
- マルウェア拡散活動の増加
- メールを介して拡散されるスティーラー型トロイの木馬
5月の脅威
5月、Doctor WebのリサーチャーはmacOSを狙うユニークなマルウェア Mac.BackDoor.Siggen.20 について注意を喚起しました。このマルウェアは犯罪者が被害者のデバイス上に悪意のあるpythonコードをダウンロードし、実行することを可能にします。さらに、このマルウェアを拡散させているWebサイトはWindowsユーザーもスパイウェア型トロイの木馬 BackDoor.Wirenet.517 (NetWire)に感染させています。 BackDoor.Wirenet.517 は被害者のPCを遠隔操作するためにハッカーによって使用される、良く知られたRATトロイの木馬です。このトロイの木馬は被害者のデバイス上でカメラやマイクを使用するなど、複数の悪意のある機能を備えているうえに、有効なデジタル署名を持っています。
Doctor Web統計サーバーによる統計
5月の脅威:
- Adware.Softobase.12
- 古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。
- Adware.Ubar.13
- ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。
- Trojan.InstallCore.3553
- また別の良く知られたアドウェアインストーラです。広告を表示させ、ユーザーの許可なしに追加のプログラムをインストールします。
- Trojan.Winlock.14244
- Windows OSとその機能へのユーザーのアクセスをブロックまたは制限するランサムウェア型トロイの木馬です。システムのブロックを解除するために、ユーザーはサイバー犯罪者に身代金を支払うよう要求されます。
- Trojan.Starter.7394
- 被害者のデバイス上で別の悪意のあるソフトウェアを実行するよう設計されたトロイの木馬です。
メールトラフィック内で検出された脅威の統計
5月の脅威:
- W97M.DownLoader.2938
- Officeアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたシステムに別の悪意のあるプログラムをダウンロードするよう設計されています。
- Exploit.ShellCode.69
- CVE-2017-11882と呼ばれる脆弱性を悪用する、悪意のあるMicrosoft Office Wordドキュメントです。
- Exploit.Rtf.CVE2012-0158
- CVE2012-0158と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。
- Exploit.Rtf.435
- ユーザーのデバイスにトロイの木馬 Trojan.Fbng.8 (FormBook)をダウンロードするために脆弱性 CVE-2017-11882 を悪用する悪意のあるMicrosoft Officeドキュメントです。
- Trojan.PWS.Stealer.19347
- 感染したコンピューターに保存されているパスワードやその他の機密情報を盗むように設計されたトロイの木馬のファミリーです。
活動に増加がみられたマルウェア:
- Trojan.Inject3.15480
- FormBookとしても知られるトロイの木馬です。個人情報を盗むように設計されていますが、開発者のサーバーからコマンドを受け取ることもできます。
暗号化ランサムウェア
2019年5月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした:
- Trojan.Encoder.18000 — 15.38%
- Trojan.Encoder.858 — 9.89%
- Trojan.Encoder.11464 — 5.49%
- Trojan.Encoder.25574 — 5.49%
- Trojan.Encoder.11539 — 5.27%
- Trojan.Archivelock — 5.05%
- Trojan.Encoder.567 — 1.98%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します。
危険なWebサイト
2019年5月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は223,952件となっています。
| 2019年4月 | 2019年5月 | 推移 |
|---|---|---|
| + 345 999 | + 223 952 | - 35.27% |
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
5月には、再びGoogle Playからさまざまな悪意のあるプログラムが拡散されました。広告バナーを表示させ、他のアプリやOSのインターフェースをブロックするトロイの木馬 Android.HiddenAds.1396 がDoctor Webのリサーチャーによって発見されています。5月の下旬にはスパイウェア型トロイの木馬 Android.SmsSpy.10206 と Android.SmsSpy.10263 が発見されました。これらトロイの木馬は受信するSMSを盗み、それらを犯罪者に送信します。
5月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。
- Google Playから新たなマルウェアが拡散
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細はこちらのレビューをご覧ください。
Dr.Webと一緒にもっと学びましょう
06.04 2019年5月のモバイルマルウェアレビュー
2019年6月4日
株式会社Doctor Web Pacific
5月、Androidデバイスは再び、Google Playから拡散される悪意のあるプログラムの標的となりました。それら悪意のあるプログラムにはアドウェア型トロイの木馬 Android.HiddenAds やテキストメッセージを横取りするスパイウェア Android.SmsSpy が含まれていました。
5月の主な傾向
- Google Playから拡散される悪意のあるアプリケーション
5月のモバイル脅威
5月に検出されたマルウェアに、 Android.SmsSpy ファミリーに属するスパイウェア型トロイの木馬 Android.SmsSpy.10206 と Android.SmsSpy.10263 があります。これらトロイの木馬はインターネットバンキング用のソフトウェアを装ってGoogle Playから拡散されていました。
インストールされて起動されると、これら悪意のあるプログラムは自身をデフォルトのSMSマネージャーとして設定しようと試み、ユーザーに権限を要求します。権限を取得すると、 Android.SmsSpy.10206 と Android.SmsSpy.10263 は受信するすべてのメッセージを横取りし、それらを犯罪者のサーバーに転送します。
このマルウェアには次のような特徴があります:
- スペイン語圏のユーザーを対象にしている
- オープンソースプログラムの SMSdroid を基に作成され、そこにトロイの木馬の機能が追加されている
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.RemoteCode.4411
- Android.RemoteCode.197.origin
- 任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。
- Android.HiddenAds.261.origin
- Android.HiddenAds.1102
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Adware.Zeus.1
- Adware.Jiubang.2
- Adware.AdPush.33.origin
- Adware.Toofan.1.origin
- Androidアプリケーション内に組み込まれ、モバイルデバイス上に迷惑な広告を表示させる不要なプログラムモジュールです。
- Tool.VirtualApk.1.origin
- アプリケーションがAPKファイルをインストールせずに実行することを可能にする、潜在的に危険なソフトウェアプラットフォームです。
アドウェア型トロイの木馬
5月上旬、Doctor Webのアナリストはオーディオプレーヤーを装って拡散されていたトロイの木馬 Android.HiddenAds.1396 をGoogle Play上で発見しました。
この悪意のあるプログラムは実際に音楽を再生しますが、初回起動後にアイコンを隠してしまうため、ユーザーはその後プログラムを起動することができなくなります。 Android.HiddenAds.1396 は迷惑な広告バナーを表示させ、ユーザーが感染したモバイルデバイスを操作することを困難にします。
新たな悪意のあるアプリケーションや不要なアプリケーションは依然としてGoogle Play上に登場し続けています。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。
ご利用のAndroidを守る必要があります。
Dr.Webを利用してみませんか?
- Android向けロシア初のアンチウイルス
- Google Playからのダウンロード数が、1.4億件を突破しました
- 個人向けDr.Web製品のユーザーは、無料でご利用いただけます
05.15 WhatsAppを装いmacOSを狙う新たな脅威
2019年5月15日
株式会社Doctor Web Pacific
4月29日、macOSデバイスを狙う新たな脅威がDoctor Webのリサーチャーによって発見されました。 Mac.BackDoor.Siggen.20 と名付けられたこのマルウェアはハッカーがリモートサーバーから悪意のあるコードをアップロードして実行することを可能にするバックドアであるということが明らかになりました。
Mac.BackDoor.Siggen.20 は、その開発者によって管理されるWebサイトから被害者のデバイスに侵入しています。それらサイトの1つは架空の人物のポートフォリオサイトを装い、もう1つは WhatsApp メッセンジャーの公式サイトを装っています。
ユーザーがこれらのサイトを開くと、そこに埋め込まれたコードがユーザーのOSを特定し、それに応じてバックドアまたはトロイの木馬がダウンロードされます。すなわち、ユーザーがmacOSを使用している場合、そのデバイスは Mac.BackDoor.Siggen.20 に感染し、Windowsデバイスの場合は BackDoor.Wirenet.517 がダウンロードされます。後者は被害者のPCを遠隔操作するためにハッカーによって使用される、良く知られたRATトロイの木馬です。このトロイの木馬は被害者のデバイス上でカメラやマイクを使用するなど、複数の悪意のある機能を備えているうえに、有効なデジタル署名を持っています。
Doctor Webのデータによると、WhatsApp メッセンジャーを装って Mac.BackDoor.Siggen.20 を拡散させているWebサイトを訪問したユーザーの数は、ユニーク IP アドレスから約300人であると計測されています。この悪意のあるサイトは2019年3月24日から稼働しており、これまでのところハッカーによる大規模な活動には使用されていませんが、ユーザーの皆様には注意を怠らず、アンチウイルスをタイムリーにアップデートすることをお勧めします。現時点で、 Mac.BackDoor.Siggen.20 のすべてのコンポーネントを検出することができるのはDr.Webアンチウイルスのみとなっています。
05.08 2019年4月のウイルスレビュー
2019年5月8日
株式会社Doctor Web Pacific
Dr.Web の統計によると、4月には3月と比較してユニークな脅威の数に39.44%の減少が見られました。検出されたすべての脅威の合計数は14.96%減少しています。メールトラフィック内で検出されるマルウェアは、依然としてMicrosoft Officeプログラムの脆弱性を悪用したものが主流となっています。3月に見られた悪意のあるプログラムや不要なプログラムに関する傾向は4月も続き、検出された脅威の大半を悪意のあるブラウザ拡張機能、不要なプログラム、アドウェアが占めています。
非推奨サイトの数は28.04%増加しています。そのようなサイトの1つは動画や音声の編集ソフトウェアと一緒にバンキング型トロイの木馬とスティーラーを拡散させていました。Doctor Webでは4月の初めにこの脅威について記事を掲載しています。また、Doctor Webでは大手国際企業の公式アドレスから送信されるフィッシングニュースレターについても注意を喚起しています。
4月の主な傾向
- マルウェア拡散活動の減少
- Dr.Webの非推奨サイトのデータベースに追加されたドメイン名の数が増加
4月の脅威
Doctor Webは、動画や音声の編集ソフトウェアを配信する人気のWebサイトが侵害されていることについてユーザーに注意を促しました。ハッカーはサイト上のダウンロードリンクをハイジャックし、編集ソフトウェアと一緒に危険なバンキング型トロイの木馬である Win32.Bolik.2 と Trojan.PWS.Stealer (KPOT Stealer)が訪問者のデバイス上にダウンロードされるようにしていました。このトロイの木馬のファミリーは、Webインジェクション、トラフィックの横取り、キーロギングを実行し、さまざまな銀行クライアントシステムから情報を盗むよう設計されています。後日、ハッカーはトロイの木馬 Win32.Bolik.2 を別のマルウェアである Trojan.PWS.Stealer (KPOT Stealer)に変更しています。
Doctor Web統計サーバーによる統計
4月の脅威:
- Adware.Softobase.12
- 古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。
- Adware.Ubar.13
- ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。
- Trojan.Starter.7394
- 被害者のデバイス上で別の悪意のあるソフトウェアを実行するよう設計されたトロイの木馬です。
- Adware.Downware.19283
- 通常、海賊版ソフトウェアのインストーラとして拡散されているアドウェアの一種です。インストールされるとブラウザの設定を変更し、さらに、ユーザーの許可なしに別のソフトウェアをインストールする場合もあります。
メールトラフィック内で検出された脅威の統計
- Exploit.ShellCode.69
- 改変されたMicrosoft Office Wordドキュメントで、悪意のあるコードを実行するために脆弱性 CVE-2017-11882 を悪用します。
- Exploit.Rtf.CVE2012-0158
- CVE2012-0158と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。
- JS.DownLoader.1225
- コンピューター上に別のマルウェアをダウンロードしてインストールするよう設計された、 JavaScriptで書かれた様々な悪意のあるコードです。
- Trojan.Encoder.26375
- ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬ファミリーに属する悪意のあるプログラムです。
- W97M.DownLoader.2938
- Officeアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたシステムに別の悪意のあるプログラムをダウンロードするよう設計されています。
暗号化ランサムウェア
2019年4月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした:
- Trojan.Encoder.858 — 17.95%
- Trojan.Encoder.18000 — 14.65%
- Trojan.Encoder.11464 — 7.69%
- Trojan.Archivelock — 5.49%
- Trojan.Encoder.567 — 3.85%
- Trojan.Encoder.11539 — 3.85%
- Trojan.Encoder.25574 — 2.75%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します。
危険なWebサイト
2019年4月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は345,999件となっています。
| 2019年3月 | 2019年4月 | 推移 |
|---|---|---|
| + 270 227 | + 345 999 | + 28.04% |
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
4月、Doctor WebはAndroid OSの複数のクリティカルな脆弱性を悪用する危険なトロイの木馬 Android.InfectionAds.1 について報告しました。これらの脆弱性を利用することで、 Android.InfectionAds.1 はapkファイルを感染させることができるほか、ユーザーの許可なしにプログラムをインストールしたり削除したりすることが可能です。
また、4月にはGoogle Play上でダウンローダ型トロイの木馬やクリッカーなどの新たなマルウェアに加え、インスタグラムの認証情報を盗むスティーラー Android.PWS.Instagram.4 と Android.PWS.Instagram.5 が発見されています。
そのほか、新たなバンキング型トロイの木馬がAndroidスマートフォンやタブレットのユーザーを脅かしました。その中にはトロイの木馬 Android.Banker.180.origin の新たなバージョンやその他のマルウェアが含まれていました。
4月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。
- Google Playからの悪意のあるプログラムの拡散
- バンキング型トロイの木馬の拡散
Dr.Webと一緒にもっと学びましょう
05.07 2019年4月のモバイルマルウェアレビュー
2019年5月7日
株式会社Doctor Web Pacific
4月、Doctor WebはAndroid OSの複数の脆弱性を悪用するトロイの木馬 Android.InfectionAds.1 について報告を行いました。これらの脆弱性は、トロイの木馬がプログラムを感染させ、ユーザーの操作なしにソフトウェアをインストール/アンインストールすることを可能にします。また、日本の金融機関から金銭を盗むよう設計されたバンキング型トロイの木馬 Android.Banker.180.origin の新たな亜種がウイルスアナリストによって発見されました。Google Playから拡散されていた悪意のあるプログラムも発見されています。モバイルデバイス上にバンキング型トロイの木馬をダウンロードするダウンローダ型トロイの木馬 Android.DownLoader、 Android.Click ファミリーに属するクリッカー、インスタグラムユーザーのログインとパスワードを盗む Android.PWS.Instagram です。その他のマルウェアもDr.Webのウイルスデータベースに追加されています。
4月の主な傾向
- Google Play上で新たな悪意のあるアプリケーションを検出
- バンキング型トロイの木馬の拡散
4月のモバイル脅威
4月の初め、Doctor Webは危険なトロイの木馬 Android.InfectionAds.1 について報告を行いました。犯罪者はこのトロイの木馬を無害なソフトウェアに埋め込み、人気のサードパーティAndroidアプリストアから配信していました。このトロイの木馬はAPKファイルを感染させるためにAndroid OSのクリティカルな脆弱性 CVE-2017-13156 を、プログラムをインストール/アンインストールするために同じくクリティカルな脆弱性である CVE-2017-13315 を悪用してします。 Android.InfectionAds.1 は迷惑なバナー広告を表示させることもでき、これにより、ユーザーによるデバイスの操作を困難にします。このトロイの木馬に関する詳細についてはウイルスライブラリをご覧ください。
Dr.Web for Androidによる統計
- Android.Backdoor.682.origin
- サイバー犯罪者から受け取ったコマンドを実行し、感染したモバイルデバイスのコントロールを可能にするトロイの木馬です。
- Android.HiddenAds.1102
- Android.HiddenAds.261.origin
- 広告を表示させるよう設計されたトロイの木馬です。ポピュラーなアプリを装って別の悪意のあるプログラムによって拡散され、システムディレクトリ内に密かにインストールされる場合もあります。
- Android.RemoteCode.4411
- 任意のコードをダウンロードして実行するように設計された悪意のあるプログラムです。
- Android.DownLoader.812.origin
- 別の悪意のあるプログラムをダウンロードするトロイの木馬です。
- Adware.Zeus.1
- Adware.AdPush.33.origin
- Adware.Toofan.1.origin
- Adware.Jiubang.2
- Androidアプリケーション内に組み込まれた不要なプログラムモジュールで、モバイルデバイス上に迷惑な広告を表示させるよう設計されています。
- Tool.VirtualApk.1.origin
- アプリケーションがAPKファイルをインストールせずに実行することを可能にする、リスクウェアプラットフォームです。
Android版バンキング型トロイの木馬
4月を通して、バンキング型トロイの木馬がAndroidデバイスユーザーを脅かしました。下旬には、マルウェア Android.Banker.180.origin の新たな亜種がDoctor Webのウイルスアナリストによって発見されています。これらの亜種は日本のユーザーをターゲットにした荷物追跡アプリ(「佐川急便」アプリなど)を装って拡散されていました。インストールされると、これらトロイの木馬は自身のアイコンを削除し、ユーザーから姿を隠します。
これら Android.Banker.180.origin の亜種は、ロシアのソーシャルネットワーク Vkontakte 内に特別に作成されたページを介してコントロールされています。そのページでは、「activities(アクティビティ)」フィールドでトロイの木馬のC&Cサーバーのうちの1つの暗号化されたアドレスが指定されています。トロイの木馬は正規表現を使用してこのフィールドを検索し、アドレスを復号化してサーバーに接続します。
これらのトロイの木馬の亜種は、ハッカーから受け取ったコマンドに応じてSMSを傍受または送信し、フィッシングウィンドウを表示し、通話を発信し、デバイスの内蔵マイクを使用して周囲の音声を聞くことができます。また、スマートフォンやタブレットを管理する機能も備えており、Wi-Fiをオンにしたり、モバイルネットワーク経由でインターネットに接続したり、画面をブロックしたりすることができます。
そのほか、 Android.DownLoader ファミリーに属する Android.DownLoader.4303 などの新たなダウンローダがモバイルデバイス上にAndroid版バンカーをダウンロードしていました。それらは金融機関のアプリケーションを装って拡散されていました。
Google Play上のトロイの木馬
ダウンローダのほか、 Android.Click.303.origin や Android.Click.304.origin などのトロイの木馬がGoogle Play上で検出されています。これらのトロイの木馬はゲームやテレビ番組を見るためのプログラムなど、無害なアプリケーションを装って拡散されていました。Doctor Webのウイルスアナリストによって、これらトロイの木馬36個が検出されています。15万1,000人を超えるユーザーがそれらをインストールしています。
これら悪意のあるソフトウェアは複数の WebView で隠れたアクティビティを開きます。それらの1つにはコマンドを取得するためのWebサイトがロードされ、その他の WebView はハッカーがユーザーのアクションを模倣するための様々なJavaスクリプトや指定されたサイトをロードするために使用されます。ハッカーはそれらのサイト上でリンクやバナー広告をクリックすることによりクリック数を増加させます。また、被害者の携帯電話会社が Wap-Click テクノロジーをサポートしている場合は、特別なボタンをクリックすることでユーザーを有料サービスに登録させることもできます。これらトロイの木馬は自身のアイコンをOSのメイン画面から隠すことで、その削除を困難にします。
4月下旬、 Android.PWS.Instagram.4 と Android.PWS.Instagram.5 がDr.Webのウイルスデータベースに追加されました。これらトロイの木馬は、いいねとフォロワーを増やしたり、アカウントのセキュリティを強化したりするためのものなど、インスタグラムのユーザーにとって便利なプログラムを装って拡散されていました。起動されると、トロイの木馬はログインとパスワードを入力するようユーザーに要求し、それらのデータを犯罪者のサーバーに送信します。
その他の脅威
トロイの木馬 Android.FakeApp.2.origin もまた、4月にAndroidスマートフォンやタブレットのユーザーを脅かした悪意のあるアプリの1つです。このトロイの木馬はインドのサービスプロバイダーJioのユーザーに対して25GBの無料インターネット通信を提供するというプログラムに隠されていました。
感染数を増やすため、このトロイの木馬は感染させたデバイスのすべての連絡先に、トロイの木馬のコピーのダウンロードページへのリンクを含んだSMSを送信していました。 Android.FakeApp.2.origin の主な目的はバナー広告を表示させることです。
トロイの木馬は悪意のあるサイトのみでなく、公式のGoogle Playストアからも拡散され、Androidデバイスのユーザーを脅かしています。スマートフォンやタブレットを保護するために、Dr.Web for Androidをインストールすることをお勧めします。
Your Android needs protection.
Use Dr.Web
- The first Russian anti-virus for Android
- Over 140 million downloads—just from Google Play
- Available free of charge for users of Dr.Web home products
04.12 人気の動画編集ソフトの公式サイトがバンキング型トロイの木馬に感染
2019年4月12日
株式会社Doctor Web Pacific
VSDCは動画や音声を編集するための人気の無料ソフトウェアです。 SimilarWeb の統計によると、毎月130万人近いユーザーがVSDCのサイトを訪問しています。しかしながら、サイトの開発者によるセキュリティ対策はこのような大きなトラフィック量に対するものとては不十分であり、多くのユーザーが危険にさらされています。
昨年、未知のハッカーがVSDCサイトの管理機能にアクセスし、ダウンロードリンクを置き換えました。その結果、ユーザーは編集ソフトウェアの代わりに JavaScript ファイルを受け取り、続けてその JavaScript により AZORult Stealer、 X-Key Keylogger、 DarkVNC バックドアがダウンロードされていました。VSDCチームは脆弱性を解決したと公表しましたが、最近になって、VSDCサイト経由で感染する新たなケースが報告されています。
Doctor Webのリサーチャーによると、VSDC開発者のコンピューターは最初の侵入が発生してから何度か侵害されており、そのハッキングの結果、2019年2月21日から3月23日の間にサイトが再度侵害されているものとみられます。今回、ハッカーたちはマルウェアを拡散させるために前回とは異なる手法を用いています。悪意のある JavaScript コードをVSDCサイト内に埋め込むというものです。このコードの役割は訪問者の位置情報を取得して、英国、米国、カナダ、オーストラリアのユーザーのダウンロードリンクを置き換えることです。VSDCサイトの元のリンクは別の感染したサイトへのリンクに置き換えられます:
- https://thedoctorwithin[.]com/video_editor_x64.exe
- https://thedoctorwithin[.]com/video_editor_x32.exe
- https://thedoctorwithin[.]com/video_converter.exe
感染したサイトからソフトウェアをダウンロードしたユーザーは危険なバンキング型トロイの木馬 Win32.Bolik.2 も一緒に受け取ります。その前身である Win32.Bolik.1 と同様、このトロイの木馬はマルチコンポーネントなポリモーフィック型ファイルウイルスとしての特徴を備えています。このトロイの木馬のファミリーは、Webインジェクション、トラフィックの横取り、キーロギングを実行し、さまざまな銀行クライアントシステムから情報を盗むよう設計されています。現時点で、Doctor Webでは videosoftdev.com サイト経由でこのトロイの木馬に感染した少なくとも565件のケースについて情報を入手しています。これまでのところ、このトロイの木馬のすべてのコンポーネントを検出することができるのはDr.Web製品のみとなっています。
2019年3月22日には、ハッカーはトロイの木馬 Win32.Bolik.2 を別のマルウェアである KPOT Stealer (Trojan.PWS.Stealerの亜種)に変更しています。このトロイの木馬はブラウザやMicrosoftアカウント、複数のメッセンジャー、その他いくつかのプログラムから情報を盗みます。わずか1日で83人のユーザーがこのトロイの木馬をダウンロードしています。
この脅威についてVSDCの開発者に対して報告が行われ、現在、ダウンロードリンクは元のリンクに戻されています。用心のため、VSDCユーザーの方はDr.Webアンチウイルスを使用してデバイスをスキャンすることをお勧めします。
#banker #banking_trojan #virus
04.09 2019年3月のウイルスレビュー
2019年4月9日
株式会社Doctor Web Pacific
3月、Doctor WebのアナリストはCounter-Strike 1.6のプレイヤーを脅かすトロイの木馬について調査を行いました。検出された脅威の数については、3月には前月と比較して大きな動きが見られました。例えば、 Trojan.MulDrop8.60634 の活動は2月に比べて3倍減少し、一方で Trojan.Packed.24060 や Adware.OpenCandy.243 などの脅威の数は増加しています。Dr.Webの非推奨サイトや危険なWebサイトのデータベースに追加されるURLの数にも減少が認められ、一方、ランサムウェアによる被害を受けたユーザーからテクニカルサポートに送られるアプリケーションの数は増加しています。
3月の主な傾向
- 悪意のあるブラウザ拡張機能の増加
- アドウェアや不要なプログラムが急増
- ランサムウェアによる被害を受けたユーザーから提出されるアプリケーション数の増加
3月の脅威
3月、Doctor WebのアナリストはCounter-Strike 1.6の Steamクライアントに存在するゼロデイ脆弱性を悪用するトロイの木馬Belonardに関する詳細な調査結果を公表しました。システム内にインストールされると、 Trojan.Belonard はクライアントのファイルを置き換え、他のユーザーを感染させるためにプロキシを作成します。Trojan.Belonardによって作成された悪意のあるCS 1.6サーバーの数は、Steam上に登録された公式サーバー全体の39%にも上っています。現在、Dr.Webの製品はBelonardトロイの木馬の全てのモジュールを検出することができます。したがって、Dr.Weユーザーに危害が及ぶことはありません。
Doctor Web統計サーバーによる統計
3月の脅威:
- Trojan.Packed.24060
- 検索結果をさまざまなWebサイトにリダイレクトする悪意のあるブラウザ拡張機能をインストールするプログラムです。
- Adware.Softobase.12
- 古くなったソフトウェアを拡散させ、ブラウザの設定を変更するアドウェアインストーラです。
- Adware.OpenCandy.243
- システムに他のソフトウェアをインストールするよう設計されたアプリケーションのファミリーです。これらのプログラムは、自身のアプリで収益を得ようとするフリーソフトウェアの開発者によって使用されます。
- Adware.Ubar.13
- ユーザーのデバイス上に不要なプログラムをインストールするよう設計されたTorrentクライアントです。
- Trojan.Starter.7394
- 被害者のデバイス上で別の悪意のあるソフトウェアを実行するよう設計されたトロイの木馬です。
数に減少が認められた脅威:
- Trojan.MulDrop8.60634
- システムにマルウェアをインストールします。通常、インストールに必要なコンポーネントはすべてMulDrop自体の中に格納されています。
- Adware.Downware.19283
- 通常、海賊版ソフトウェアのインストーラとして拡散されているアドウェアの一種です。インストールされるとブラウザの設定を変更し、さらに、ユーザーの許可なしに別のソフトウェアをインストールする場合もあります。
メールトラフィック内で検出された脅威の統計
- Exploit.ShellCode.69
- CVE-2017-11882と呼ばれる脆弱性を悪用する、また別の悪意のあるMicrosoft Office Wordドキュメントです。
- W97M.DownLoader.2938
- Officeアプリケーションの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたシステムに別の悪意のあるプログラムをダウンロードするよう設計されています。
- Exploit.Rtf.CVE2012-0158
- 改変されたMicrosoft Officeドキュメントで、悪意のあるコードを実行するために脆弱性CVE2012-0158を悪用します。
- Trojan.SpyBot.699
- マルチモジュールなバンキング型トロイの木馬です。感染したデバイス上でサイバー犯罪者が様々なアプリケーションをダウンロード・起動し、コマンドを実行することを可能にします。銀行口座から金銭を盗む目的で設計されています。
- JS.DownLoader.1225
- コンピューター上に別のマルウェアをダウンロードしてインストールするよう設計された、JavaScriptで書かれた様々な悪意のあるコードです。
- Trojan.PWS.Stealer.23680
- 感染したコンピューターに保存されているパスワードやその他の機密情報を盗むように設計されたトロイの木馬のファミリーです。
暗号化ランサムウェア
2019年3月に最も多かったDoctor Webテクニカルサポートサービスへの問い合わせは、以下の暗号化ランサムウェアに感染したユーザーからのものでした:
- Trojan.Encoder.858 — リクエストの28.39%
- Trojan.Encoder.18000 — リクエストの9.54%
- Trojan.Encoder.27210 — リクエストの4.25%
- Trojan.Encoder.11464 — リクエストの4.14%
- Trojan.Encoder.11539 — リクエストの4.14%
- Trojan.Encoder.567 — リクエストの2.76%
- Trojan.Archivelock — リクエストの2.34%
Dr.Web Security Space for Windowsは暗号化ランサムウェアから保護します。
危険なWebサイト
2019年3月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は270,227件となっています。
| 2019年2月 | 2019年3月 | 推移 |
|---|---|---|
| + 288 159 | + 270 227 | - 6.63% |
モバイルデバイスを脅かす悪意のあるプログラムや不要なプログラム
3月には、Google Play上で新たな悪意のあるプログラムが多数発見されました。その中には、オンライン上でお金を稼ぐことができるプログラムとして拡散されている悪名高いトロイの木馬 Android.FakeApp ファミリーが含まれています。これらトロイの木馬は、多額の報酬を受け取ることができるスポンサー企業の調査に参加するよう促すサイトを開きます。報酬を受け取るために、ユーザーは手数料を払うか、または身元を確認するためのテスト送金を行うよう指示されます。ユーザーが同意すると犯罪者にお金が振り込まれ、その後ユーザーが報酬を受け取ることはありません。
そのほか、3月には Android.HiddenAds ファミリーも発見されています。これらトロイの木馬は、他のプログラムウィンドウやシステムインターフェースの前面に迷惑な広告を絶えず表示させ、ユーザーがAndroidデバイスを操作することを困難にします。
また、ハッカーたちは依然としてバンキング型トロイの木馬を拡散させ続けています。Doctor Webでは、3月末にそのようなトロイの木馬について記事を掲載しています。Flexnetとして知られるこの悪意のあるソフトウェアは銀行口座だけでなくモバイルデバイスのアカウントからも金銭を盗みます。
3月末、Doctor Webのリサーチャーは人気のAndroid用ブラウザ「UC Browser」内に潜む脆弱性について詳細を明らかにしました。Google Playサーバーを迂回してプラグインをダウンロードすることができるというこの脆弱性は、マルウェアを拡散する目的でハッカーたちに悪用される可能性があります。
3月の注目に値するモバイルセキュリティに関するイベントは以下のとおりです。
- UC Browser内で脆弱性を発見
- Google Playから拡散される悪意のあるプログラム
- バンキング型トロイの木馬の拡散
モバイルデバイスを標的とする悪意のあるプログラムや不要なプログラムに関する詳細は こちらのレビューをご覧ください。
